脅威アクターは、組織の脆弱な認証慣行を悪用して、 OAuthを悪用する クリプトマイニング、フィッシング、パスワード スプレーなどのさまざまなベクトルを含む一連の攻撃で、多くの場合金銭的利益を目的としたアプリケーションが攻撃されます。
OAuth は、クロスプラットフォーム アクセスに採用されることが増えているオープン認証標準です。ユーザーは、Web サイトにログインするときに、「Facebook でログイン」や「Google でログイン」など、別のソーシャル メディア アカウントでログインするためのリンクをクリックするよう求めるプロンプトが表示されることを認識します。 OAuth を使用すると、アプリケーションは、ユーザーが設定したアクセス許可に基づいて、他のオンライン サービスやサイトのデータやリソースにアクセスできるようになり、サイト間の認証ハンドオフを担当するメカニズムです。
Microsoft Threat Intelligence は、Microsoft サービスのユーザー アカウントを侵害し、OAuth アプリケーションを作成、変更し、悪意のあるアクティビティの「自動化ツール」としてアプリケーションを使用できるようにする方法で高い権限を付与する一連の攻撃を観察したことを研究者が明らかにしました。で ブログ投稿 今週公開されました。また、攻撃者はOAuth認証標準を利用して、最初に侵害されたアカウントへのアクセスを失った場合でもアプリケーションへのアクセスを維持しているという。
「攻撃者は、高い権限を持つ OAuth アプリケーションを悪用して、仮想通貨マイニング用の仮想マシン (VM) を展開し、ビジネス電子メール侵害 (BEC) 後の永続性を確立し、標的の組織のリソースとドメイン名を使用してスパム活動を開始しました。」役職。
研究者らは、OAuth を新たな方法で悪用したいくつかの攻撃について説明しています。ほとんどの場合、侵害されたアカウントでは多要素認証 (MFA) が有効になっていないため、クレデンシャル スタッフィング、フィッシング、リバース プロキシ フィッシングなどの戦術を使用して悪意のある目的でアカウントにアクセスする攻撃者にとって簡単な標的となります。
OAuth の使用と悪用
Microsoft Threat Intelligence の研究者は、OAuth を悪用してさまざまな方法で悪意のある活動を実行する、クリプトマイニング、ビジネス メール侵害 (BEC) / フィッシング、パスワード スプレー / スパムという XNUMX つの特定の攻撃タイプを観察しました。
Microsoft が Storm-1283 として追跡しているこの攻撃者が利用したベクトルの 10,000 つでは、攻撃者は侵害された Azure ユーザー アカウントを使用して OAuth アプリケーションを作成し、クリプトマイニング用の仮想マシン (VM) を展開しました。標的となった組織は、最初の攻撃を設定した後、攻撃者がさらにクリプトマイニング VM をデプロイするためにアカウントに戻った悪意のある活動により、1.5 ドルから XNUMX 万ドルのコンピューティング料金を負担しました。
攻撃者はまた、BEC 攻撃やフィッシング攻撃用の OAuth アプリケーションを作成するためにユーザー アカウントを侵害しており、研究者らは、脅威アクターがユーザー アカウントを侵害し、永続性を維持して電子メール フィッシング活動を開始する OAuth アプリケーションを作成していることを観察しました。
このベクトルでは、攻撃者は中間者攻撃 (AitM) フィッシング キットを使用して、プロキシ サーバーに誘導する悪意のある URL を使用して、さまざまな件名と URL を含む多数の電子メールを複数の組織のターゲット ユーザー アカウントに送信しました。本物の認証プロセスを容易にします。ユーザーがおとりに乗ってログインすると、攻撃者はユーザーのセッション Cookie からトークンを盗み、その後それを使用してセッション Cookie の再生アクティビティを実行します。
場合によっては、攻撃者は Microsoft の Outlook Web アプリケーションで電子メールの添付ファイルを検索し、「支払い」などの特定のキーワードを検索することもありました。 および "請求書" 研究者らは、将来のBEC活動に備えて偵察を行うためだと述べた。
他のケースでは、BEC 偵察の代わりに、脅威アクターは盗まれたセッション Cookie の再生後にマルチテナント OAuth アプリケーションを作成し、そのアプリケーションを使用して永続性を維持し、新しい資格情報を追加し、Microsoft Graph API リソースにアクセスして電子メールを読んだり、フィッシング メールを送信したりしました。 。
1286 番目の独自の攻撃では、Microsoft が Storm-XNUMX として追跡している攻撃者が、侵害されたユーザー アカウントにパスワードをスプレーする攻撃を通じて大規模なスパム活動を実行しました。 Microsoft Threat Intelligence によると、攻撃者はユーザー アカウントを侵害し、Azure PowerShell または Swagger Codegen ベースのクライアントを使用して標的の組織内に XNUMX ~ XNUMX つの新しい OAuth アプリケーションを作成し、アカウント メールボックスの制御を許可するアプリケーションに同意を与えました。そこから、攻撃者は侵害されたユーザー アカウントと組織のドメインを使用して、XNUMX 日に何千通もの電子メールを送信します。
MFA およびその他の緩和策
2007 年から使用されている OAuth は、さまざまな理由で組織にリスクをもたらし、攻撃者がこれを悪用する方法は数多くあります。セキュリティ研究者は、 欠陥が見つかりました その実装では、次のような主要なオンライン サービス プラットフォームが公開されています。 Booking.com および 他人 攻撃する。一方で、自分が作成した悪意のある OAuth アプリを使用している人もいます Microsoft Exchangeサーバーを侵害する.
Microsoft によると、OAuth 使用時に組織が攻撃対象領域を減らすための重要なステップは、主に ID インフラストラクチャを保護することです。これを行う簡単な方法の XNUMX つは、多要素認証 (MFA) を使用することです。これを使用すると、最近観察された攻撃におけるアカウント侵害が「劇的に減少する」と研究者らは述べています。
認証を強化し、OAuth ベースの攻撃が成功する可能性を減らすために組織が実行できるステップの XNUMX つは、ユーザーがアカウントにサインインしようとするたびにルールを評価して適用する条件アクセス (CA) ポリシーを有効にすることです。もう XNUMX つは、Azure Active Directory など、デプロイされた Microsoft アプリケーションでセキュリティのデフォルトを有効にすることです。
同投稿によると、「アプリケーションが必要なデータにのみアクセスし、最小特権の原則を遵守していることを確認する」ために組織全体でアプリと同意された権限を監査することも、OAuth 攻撃を防御するために使用できるという。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/cloud-security/attackers-target-microsoft-accounts-weaponize-oauth-apps
