Abus d'OAuth

5 mai 2025

Par l'équipe de recherche sur les menaces de Mimecast

L'équipe de recherche sur les menaces de Mimecast continue d'observer des e-mails contenant des URL qui manipulent les paramètres OAuth de Microsoft pour rediriger les utilisateurs vers des pages malveillantes. La campagne a généré environ 4 500 instances observées en deux semaines, ciblant principalement les entreprises de l'immobilier et des services professionnels aux États-Unis. Cette approche méthodique semble se concentrer sur la collecte potentielle de renseignements commerciaux ainsi que sur le vol d'informations d'identification tout en maintenant une apparence trompeusement légitime. La technique utilise la manipulation d'URL pour exploiter l'implémentation OAuth de Microsoft. En utilisant des domaines Microsoft légitimes tout au long de la chaîne d'attaque, les acteurs malveillants ont élaboré une approche d'ingénierie sociale très convaincante qui pourrait potentiellement contourner les contrôles de sécurité traditionnels.

Dans ces campagnes, les cibles sont initialement présentées avec des leurres contenant des URL exploitant des domaines d'authentification Microsoft légitimes. Après avoir cliqué sur le lien et terminé le processus d'authentification standard, les utilisateurs reçoivent une demande d'autorisation apparemment inoffensive qui permet la collecte de données de base. Bien que des rapports open source aient déjà noté que certaines applications malveillantes demandaient un accès plus large aux comptes d'utilisateurs, nos recherches ont jusqu'à présent observé que cette technique était principalement utilisée pour demander des informations de base sur les utilisateurs, telles que les adresses e-mail, les titres de poste et les photos de profil. Des campagnes plus récentes ont encore obscurci l'attaque en intégrant les URL de redirection dans des paramètres codés, ce qui rend la détection par les utilisateurs et les solutions de sécurité beaucoup plus difficile.

Deux conclusions clés peuvent être tirées de cette activité : tout d'abord, les acteurs malveillants peuvent collecter des informations de base sur les utilisateurs, telles que les noms complets, les titres des postes et les photos de profil, afin de valider les comptes de messagerie en vue de les utiliser lors d'attaques ultérieures. En alternative, demander uniquement des autorisations de base peut être une tactique pour éviter d'éveiller les soupçons, avec pour objectif final de rediriger les utilisateurs vers des pages de collecte d'identifiants. Que l'utilisateur accepte ou refuse la demande d'autorisation, il est toujours redirigé vers l'URL spécifiée par l'application malveillante.

Analyse technique

En règle générale, la structure d'URL que nous avons vue dans ces campagnes suit le modèle ci-dessous.

https://login.microsoftonline.com/common/reprocess?ctx=rQQIARAA02I20jOwUjE3MTFJM0ky1TU0TEvSNTFONNK1SDJK1jUzMjSxMAUCC4PkIiEugcTgtV7WT-pcZpwUj7mt7ye_ilEpo6SkoNhKX78gJzEvsbQkIzknMzWvRC8lVT8lozgjJTXVZAcj4wVGxlVMbMYGBibGBreY-P0dgQqNQER-UWZV6icmjrSixPRcoL5ZzBwWRpbmRpZGhpuY2ZLzc3Pz83YxqxgYGBomJRlZ6poamBvpGlgkm-omJqda6KYam1kmG5mZmxkZmZ1iFskvSM3LTFFIzU3MzFEoKMpPy8xJvcHMeIGF8RULjwGrFQcHlwC_BLsCww8WxkWsQP8kKS969XB5t8PUG------

/common - Fait référence au terminal partagé (/common/) du système de connexion de Microsoft, ce qui signifie que la demande n'est pas liée à une organisation spécifique, tout utilisateur (personnel ou professionnel) peut être ciblé.

/reprocess - Normalement, Microsoft utiliserait /reprocess pour réessayer ou reprendre une connexion échouée ou un flux d'authentification interrompu.

CTX - Il s'agit d'un objet de contexte contenant des informations telles que la session, le locataire, l'URL de redirection et l'état de l'authentification dont Microsoft a besoin lors des transactions OAuth. Ce codage est généralement généré par Microsoft lorsqu'une session de connexion est interrompue ou échoue.

Génération d'URL

• L'acteur malveillant enregistre une application dans Azure AD et spécifie un lien de redirection malveillant à utiliser dans sa campagne.
• Il génère une URL OAuth, comprenant le lien de redirection et des paramètres tels que response_type, afin de déclencher une invite de consentement demandant l'accès au compte de l'utilisateur lorsque ce dernier clique dessus. Remarque : d'autres options de type de réponse peuvent être utilisées qui ne montrent pas les pages de consentement et redirigent silencieusement l'utilisateur vers la page malveillante.
• En utilisant cette URL, ils tentent de se connecter eux-mêmes et d'interrompre ou de manipuler la session pour générer une chaîne ctx, qui inclut l'URL de redirection encodée et les détails de la session produits par Microsoft.
• Il crée ensuite une URL de phishing finale, en insérant le ctx capturé dans un terminal /common/reprocess, ce qui lancera un flux de connexion pour tout utilisateur, quel que soit le locataire. Nous avons observé que le contexte généré a tendance à être utilisé sur de nombreuses cibles.

Protection Mimecast

Nous avons identifié plusieurs attributs dans les récentes campagnes qui ont été ajoutés à nos capacités de détection. Nous continuons à surveiller les changements dans les techniques utilisées avec les liens OAuth.

Objectifs:

Principalement aux États-Unis, Immobilier, Services professionnels

Recommandations

• Évaluer les exigences des applications externes
  • Effectuez des examens approfondis des consentements existants des applications tierces dans l'ensemble de l'organisation
  • La journalisation améliorée des requêtes OAuth doit être activée pour faciliter la détection précoce des activités suspectes.
• Formation de sensibilisation à la sécurité des utilisateurs
  • Les utilisateurs doivent scruter attentivement les demandes de connexion Microsoft qui incluent des autorisations d'accès.
  • Effectuer régulièrement des simulations de phishing qui incluent des scénarios de permissions Microsoft
• Recherche proactive des menaces
  • Effectuer des recherches dans les journaux URL Protect à l'aide de filtres spécifiques pour le paramètre reprocess?ctx= car il s'agit d'un indicateur clé de compromission.