Pozor na podvodné aplikace! Phisheři se snaží obcházet Office365 MFA
3. 6. 2020

Každodenní metody phishingu se stále ukazují jako nejefektivnější způsob, jak proniknout do organizace skrz všechny ochranné mechanismy. Útok je cílen na uživatele, kteří už mají nějaké povědomí o bezpečnosti, kontrolují název domény v URL a není jednoduché je nachytat triviálním e-mailem s odkazem… Zároveň mají nastavenou vyšší úroveň autentifikace, takže je i šance, že se může jednat o uživatele s vyššími oprávněními.

Útok začíná nevinně

Phisheři obchází ochranu vícefaktorové autentizace (MFA) na uživatelských účtech Office 365 tak, že ji přimějí, aby udělila povolení jejich podvodné aplikaci. Tato aplikace pak umožňuje útočníkům přístup a úpravu nastavení účtu oběti a zároveň si tento přístup ponechává na dobu neurčitou.

Útok začíná e-mailem s pozvánkou, která nasměruje potenciální oběti do souboru hostovaného na Microsoft SharePoint. Název dokumentu většinou hlásí, že příjemce e-mailu obdrží bonus/odměnu za první kvartál.

Uživatelům, kteří na odkaz kliknou, se zobrazí legitimní přihlašovací stránka Microsoft Office 365. Jen ti, kteří jsou dostatečně pečliví na kontrolu adresy URL, zaregistrují něco neobvyklého (pokud ví, co hledat):

Dlouhá adresa URL obsahuje několik parametrů, které ukazují, že zadáním přihlašovacích údajů a stisknutím tlačítka přihlášení uživatel „požádá“ platformu Microsoft Identity o token ID a autorizační kód, který bude zaslán k maskování jiných domén jako legitimní entity Office 365. Ukazuje také, že aplikace, pro kterou je žádost podána, získá povolení k přístupu k účtu oběti, ke čtení a úpravám jejího obsahu (dokumenty, soubory) a použití souvisejících zdrojů, k přístupu a použití kontaktů oběti a tento přístup neomezeně prodlouží.

Jak? Výše uvedený autorizační kód je vyměněn za přístupový token, který je prezentován podvodnou aplikací do Microsoft Graph, která jej autorizuje.

Co s tím?

OAuth2 je důležitým příkladem protikladné adaptace. Není třeba kompromitovat pověření, jsou to sami uživatelé, kteří nevědomky schvalují útočníkovi přístup k jejich účtům. Jakmile útočník dostane přístup k účtu přes danou aplikaci, je nutné tuto aplikaci opět zrušit, změnit heslo. Nikdy však nemáme jistotu, co daný útočník za tu dobu udělal a co jiného modifikoval…

Určitě je potřeba ověřit, že nevypnul MFA či jiná bezpečnostní nastavení.

Co z toho vyplývá? NIKOMU nevěřte, čtěte, přemýšlejte a na nic neklikejte – hlavně tam, kde vám přijde něco, co neočekáváte – třeba prémie!

Máte zájem nebo se chcete dozvědět více? Napište nám!


Kontaktní osoba

Ing. Filip Lang

Ing. Filip Lang

vedoucí realizace a provozu

+420 724 707 417
filip.lang@nwt.cz