Microsoft: хакеры используют ошибки в OAuth для распространения вредоносного ПО

Хакеры злоупотребляют легитимным механизмом перенаправления OAuth, чтобы обходить защиту от фишинга в электронной почте и браузерах и перенаправлять пользователей на вредоносные страницы, заявили в Microsoft.

По словам исследователей Microsoft Defender, атаки нацелены на государственные и общественные организации. Запросы на электронную подпись, уведомления социального страхования, приглашения на встречи, сброс паролей или различные финансовые и политические темы содержат URL-адреса перенаправления OAuth. Иногда URL-адреса встраиваются в PDF-файлы, чтобы избежать обнаружения.

Приложения OAuth регистрируются у поставщика идентификации, такого как Microsoft Entra ID, и используют протокол OAuth 2.0 для получения делегированного или прикладного доступа к данным и ресурсам пользователей.

https://login.microsoftonline.com/common/oauth2/v2.0/authorize?client_id=<app_id>&response_type=code&scope=<invalid_scope>&prompt=none&state=<value>

Error is triggered due to invalid scope

https://accounts.google.com/o/oauth2/v2/auth?prompt=none&auto_signin=True&access_type=online&state=<email>&redirect_uri=<phishing_url>&response_type=code&client_id=<app_id>.apps.googleusercontent.com &scope=openid+https://www.googleapis.com/auth/userinfo.email

Error is triggered due to requiring an interactive login, but prompt=none prevents that request

В ходе кампаний, отслеживаемых Microsoft, злоумышленники создают вредоносные приложения OAuth в контролируемом ими клиенте и настраивают их с помощью URI перенаправления, указывающего на их инфраструктуру. Исследователи утверждают, что даже если URL-адреса для Entra ID выглядят как легитимные запросы авторизации, конечная точка вызывается с параметрами для скрытой аутентификации без интерактивного входа в