Araştırmacılar, zayıf OAuth 2.0 uygulamalarına karşı URL yeniden yönlendirme saldırıları başlatmak için daha önce bilinmeyen bir dizi yöntem keşfettiler.
Bu saldırılar, kimlik avı algılama ve e-posta güvenliği çözümlerinin atlatır ve aynı zamanda kimlik avı URL’lerine kurbanlara sahte bir meşruiyet snse verir.
İlgili kampanyalar Proofpoint tarafından algılandı ve Outlook Web Access, PayPal, Microsoft 365 ve Google Workspace’i hedef aldı.
Saldırı nasıl çalışır?
OAuth 2.0, bir web veya masaüstü uygulamasının e-posta, kişi, profil bilgileri veya sosyal hesapları gibi son kullanıcı tarafından denetlenen kaynaklara erişmesine izin veren yaygın olarak benimsenen bir yetkilendirme protokolüdür.
Bu kimlik doğrulama özelliği, kullanıcının belirli bir uygulamaya erişim izni vermesine dayanır ve bu da diğer sitelerin kullanıcının kaynaklarına erişmek için kullanabileceği bir erişim belirteci oluşturur.
OAuth uygulamaları geliştirirken, geliştiricilere çeşitli kullanılabilir akış türleri, aşağıda gösterildiği gibi ihtiyaçlarına bağlı olarak.
Bu akışlar, uygulama geliştiricilerinin benzersiz bir istemci kimliği, kapsam gibi belirli parametreleri tanımlamasını gerektirir ve başarılı kimlik doğrulamasından sonra yeniden yönlendirme URL’si açılır.
Ancak Proofpoint, saldırganların geçerli yetkilendirme akışlarındaki bazı parametreleri değiştirerek kurbanın saldırgan tarafından sağlanan bir siteye yeniden yönlendirilmesini veya kayıtlı bir kötü amaçlı OAuth uygulamasında URL’yi yeniden yönlendirebileceğini keşfetti.
Bu, kurban Microsoft’a ait meşru görünümlü bir URL’yi tıklattıktan sonra gerçekleştiğinden, kurban, kötü amaçlı bir siteye yönlendirilmelerine rağmen URL’nin meşru olduğunu varsayar.
Bu yeniden yönlendirme, ‘response_type’ sorgu parametresi geçersiz bir değer içerecek şekilde değiştirilerek tetiklenebilir ve kurban kimlik doğrulamasından sonra Microsoft tarafından bir kimlik avı sayfasına götürülür.
Aynı şey, ‘scope’ parametresi bir “invalid_resource” hatasını tetikleyecek şekilde düzenlenirse de olur.
“Saldırılar, kendileri için tanımlanmış kötü amaçlı yönlendirme URL’lerine sahip düzinelerce farklı Microsoft 365 üçüncü taraf uygulaması kullanıyor,” diye açıklıyor. Proofpoint’in raporu
“Tüm üçüncü taraf uygulamalar, şüphelenmeyen kullanıcıları farklı kimlik avı URL’lerine yönlendirmek amacıyla, eksik bir response_type sorgu parametresine sahip bir Microsoft URL’si aracılığıyla teslim ediliyordu.”
Üçüncü saldırı senaryosu, kullanıcının izin ekranındaki İptal düğmesine tıklamasıdır ve bu da kötü amaçlı uygulama URL’sine yeniden yönlendirmeyi tetikler.
Proofpoint, Azure Portal’da olduğu gibi, hangi OAuth akışının seçildiğine bağlı olarak, kimlik doğrulamasından önce bile yeniden yönlendirmeyi tetiklemenin mümkün olduğunu açıklar.
Kimlik doğrulama akışında hata üretmek için değiştirilen OAuth URL’lerini kullanarak, kimlik avı kampanyaları, oturum açma kimlik bilgilerini çalmaya çalışan açılış sayfalarına yönlendiren meşru görünümlü URL’ler sunabilir.
Proofpoint, kullanıcıları kimlik avı açılış sayfalarına yönlendirmek için bu hatayı kötüye kullanan tehdit aktörlerinin vahşi vahşilikinde örnekler gördüğü için bu saldırılar teorik değildir.
“Proofpoint verilerini analiz ettik ve daha sonra bu blog gönderisinde ayrıntılı olarak tartışacağımız modi operandi (MOs) kullanarak büyük ölçekli hedefli saldırılar bulduk. Saldırılarda düzinelerce farklı şey kullanılıyor. Microsoft 365 kötü amaçlı yönlendirme URL’leri tanımlanmış üçüncü taraf uygulamalar.
Proofpoint araştırmacıları David Krispin ve Nir Swartz, “Proofpoint müşteri kiracılarının yüzlerce kullanıcısını başarıyla hedeflediler ve sayılar her gün artmaya devam ediyor.” dedi.
Kapsamlı bir sorun
Diğer OAuth sağlayıcıları, kötü amaçlı sitelere yönlendiren güvenilir URL’ler oluşturmayı kolaylaştıran benzer hatalardan etkilenir.
Örneğin GitHub, yönlendirme URL’leri kimlik avı açılış sayfalarına yol açan uygulamalar oluşturan tehdit aktörleri de dahil olmak üzere herkesin bir OAuth uygulaması kaydetmesine izin verir.
Tehdit aktörleri daha sonra GitHub’ın yoksaydığı ve bunun yerine uygulama tarafından tanımlanan yönlendirmeyi kullandığı meşru görünümlü yönlendirme URL’leri içeren OAuth URL’leri oluşturabilir. Ancak kullanıcıya, URL meşru görünür ve tıklamak için güvenilir görünür.
Google, bir tehdit aktörü oturum açma OA’sını kaydedebildiğinden bunu daha da kolaylaştırıruth uygulaması ve kötü amaçlı bir URL’ye ‘redirect_uri’ parametresi ayarlayın ve kurbanı kimlik doğrulamasından hemen sonra oraya götürür.
Google bu URL’yi doğrulamaz, bu nedenle kimlik avı sayfasından kötü amaçlı yazılım bırakan bir siteye kadar herhangi bir şey olabilir.
Olası çözümler
Proofpoint’in raporu, bu hatalar için birden çok azaltma tekniği sağlar ve en etkilisi geçersiz parametreleri yoksaymamak ve bunun yerine bir hata sayfası görüntülemektir.
Ayrıca, otomatik yeniden yönlendirmeden önce uzun bir gecikme uygulamak veya yeniden yönlendirmenin gerçekleşmesi için ek bir tıklama getirmek, birçoğunun kimlik avından tasarruf etmesini sağlar.
“Masum kullanıcıların kimlik avı, kullanıcı kimlik bilgilerini tehlikeye atan ve bu süreçte kuruluşunuzun ağını ihlal eden en başarılı saldırı yöntemi olmaya devam ediyor. E-posta koruma sistemleri bu saldırılara karşı çaresizdir,” diye bitiriyor Proofpoint.
“OAuth altyapısını kötüye kullanarak, bu saldırılar hedeflerine tespit edilmeden kötü amaçlı e-postalar sunar. PayPal yönelik bu tür saldırılar kredi kartı gibi finansal bilgilerin çalınmasına neden olabilir. Microsoft’a yönelik kimlik avı saldırıları dolandırıcılığa, fikri mülkiyet hırsızlığına ve daha fazlasına yol açabilir.”
Internet Mühendisliği Görev Gücü (IETF) ek güvenlik önerileri kimlik doğrulama OAuth sunucularını uygulayanlar için.