Microsoft Warns OAuth Redirect Abuse Delivers Malware to Government Targets

Abus de Redirection OAuth : Nouvelle Tactique de Phishing Ciblant les Organisations Gouvernementales

Des campagnes de phishing sophistiquées exploitent désormais une fonctionnalité légitime du protocole OAuth pour contourner les défenses de sécurité traditionnelles et livrer des malwares, notamment aux organisations gouvernementales. Plutôt que de voler des identifiants ou des jetons, ces attaques reposent sur la manipulation des mécanismes de redirection d’OAuth pour rediriger les victimes vers des infrastructures contrôlées par les attaquants.

Points Clés :

• Exploitation d’une Fonctionnalité : L’attaque abuse d’une fonction intégrée à OAuth permettant aux fournisseurs d’identité de rediriger les utilisateurs vers des pages spécifiques, souvent en cas d’erreur ou lors de flux définis.
• Attaque Basée sur l’Identité : Il ne s’agit pas d’une vulnérabilité logicielle, mais d’une menace axée sur l’identité qui tire parti du comportement standard d’OAuth.
• Ciblage : Les organisations gouvernementales et du secteur public sont particulièrement visées.
• Mécanisme : Les attaquants créent des applications malveillantes dans un environnement sous leur contrôle, configurées avec une URL de redirection vers un domaine malveillant. Ils envoient ensuite des liens de phishing OAuth, incitant les utilisateurs à s’authentifier via une portée invalide.
• Livraison de Malware : La redirection amène l’utilisateur à télécharger involontairement un malware, souvent contenu dans des archives ZIP. Ces malwares peuvent déclencher l’exécution de PowerShell, le chargement latéral de DLL, ou mener à des activités pré-rançongiciels et à un contrôle manuel des systèmes.
• Appâts : Les emails frauduleux utilisent des prétextes variés comme des demandes de signature électronique, des enregistrements Teams, ou des thèmes financiers et politiques pour inciter au clic.
• Techniques de Dissimulation : Les adresses email des cibles sont encodées dans le paramètre “state” des URLs de redirection pour personnaliser les pages de phishing, rendant l’attaque plus crédible.

Vulnérabilités et Vecteurs d’Attaque :

Bien qu’il n’y ait pas de CVE spécifique mentionné pour cette technique en tant que telle, l’attaque repose sur l’exploitation de la manière dont les applications OAuth sont configurées et dont les utilisateurs interagissent avec les demandes d’autorisation. Les vecteurs d’infection incluent :

• Redirection via des Applications OAuth Malveillantes : Des applications légitimes sont compromises ou des applications malveillantes sont créées pour orchestrer la redirection.
• Livraison de Payloads Malveillants : Les malwares sont distribués sous forme d’archives ZIP contenant des fichiers LNK (raccourcis) qui déclenchent des commandes PowerShell. Ces commandes installent des DLL malveillantes qui utilisent des exécutables légitimes pour se charger, puis exécutent la charge utile finale en mémoire.
• Phishing “Adversary-in-the-Middle” (AitM) : Certaines campagnes redirigent les utilisateurs vers des frameworks de phishing comme EvilProxy, qui interceptent les identifiants et les cookies de session.

Recommandations :

• Limiter le Consentement des Utilisateurs : Examiner attentivement les demandes d’autorisation d’applications OAuth et n’accorder que les permissions strictement nécessaires.
• Réviser Périodiquement les Permissions des Applications : Effectuer des audits réguliers pour identifier et révoquer les permissions excessives ou inutiles des applications connectées.
• Supprimer les Applications Inutilisées ou Sur-Privilégiées : Maintenir un inventaire propre des applications et supprimer celles qui ne sont plus nécessaires ou qui disposent de privilèges trop importants.
• Sensibilisation et Formation : Informer les utilisateurs sur les techniques de phishing sophistiquées, y compris celles qui abusent des flux d’authentification légitimes.
• Surveillance des Activités OAuth : Mettre en place une surveillance pour détecter les comportements anormaux liés aux applications OAuth et aux redirections.

Source