Хакеры используют рабочие процессы OAuth 2.0 для взлома учётных записей Microsoft 365

Компания по кибербезопасности Volexity выяснила, что злоумышленники используют законные рабочие процессы аутентификации OAuth 2.0 для захвата учётных записей Microsoft 365 сотрудников организаций.

Они выдают себя за должностных лиц и связываются с пользователями через платформы обмена сообщениями WhatsApp и Signal. Цель состоит в том, чтобы убедить потенциальных жертв предоставить коды авторизации Microsoft, которые дают доступ к учётным записям, либо же уговорить их перейти по вредоносным ссылкам, которые собирают логины и одноразовые коды доступа.

Сначала пользователям предлагают принять участие в видеоконференции. После установления канала связи злоумышленник отправляет фишинговый URL OAuth под предлогом того, что он необходим для присоединения к видеозвонку. Также он может поделиться инструкциями по присоединению к встрече в виде PDF-файла вместе с вредоносным URL, созданным для входа пользователя в приложения Microsoft и сторонних поставщиков, которые используют рабочие процессы Microsoft 365 OAuth.

После аутентификации цель «перенаправляется на версию Visual Studio Code для браузера, размещённую на insiders.vscode.dev». Целевая страница может получать параметры входа из Microsoft 365, включая OAuth.

Используя социальную инженерию, злоумышленник пытается обманом заставить жертву отправить код под предлогом того, что он необходим для присоединения к собранию. Однако строка представляет собой код авторизации, действительный в течение 60 дней, который можно использовать для получения токена доступа ко «всем ресурсам, обычно доступным пользователю».

«Следует отметить, что этот код также появился как часть URI в адресной строке. Код Visual Studio, по-видимому, был настроен для упрощения извлечения и распространения этого