安全企业Proofpoint本周指出,该公司最近发现许多新形态的攻击手法,利用微软及其它企业的OAuth 2.0实例来展开网络钓鱼攻击。
OAuth为一开放标准,让第三方应用得以在未取得用户名及密码的状态下,通过访问权限(Access Token)访问用户存放于特定网站上的有限资源,例如有些第三方的云计算应用会借由OAuth 2.0访问用户放置在Microsoft 365或Google Workspace平台上的资料。
研究人员说明,当一个网页应用结合适户控制的参与以指定重新定向的连接时,就会出现开放性的重新定向漏洞,将让黑客替网页应用打造一个URL,重新定向到任意的外部域名,经典的开放重新定向攻击会以自己的URL作为重新定向的目标,但最新技俩的目标URL却是配置在OAuth供应商的框架中,且未验证该URL。
此外,该重新定向的目标URL将迷失在合法的URL中,得以绕过大多数的网络钓鱼侦测解决方案及电子邮件安全解决方案,用户即会因信任该OAuth供应商而点击该URL。
Proofpoint便发现了针对微软OAuth实例的攻击行动,黑客利用数十种不同的Microsoft 365第三方应用,挟带恶意的重新定向URL,至少有数百名Proofpoint客户的用户遭到攻击;所有的应用都是通过微软的URL传送,而将毫无戒心的用户重新定向至网络钓渔网页。
在攻击行动中,大多数的网络钓鱼页面都滥用微软Azure域名来托管,使它们看起来更可信,黑客的目的是为了盗走用户的Outlook Web Access或PayPal等凭证。
且不只是Microsoft 365,GitHub也含有类似的开放性重新定向漏洞。
Proofpoint不仅详述了黑客的攻击手法,也公布黑客所使用的网络钓渔网址,指出目前最有效的缓解决方案式就是当用户要离开现有的应用时,提出清楚的警告,在用户被自动重新定向前特意延迟时间,或者是在重新定向之前,强迫用户必须点击连接。