Microsoft: Hackers abuse OAuth error flows to spread malware
Mis à jour :
Usurpation de flux d’erreurs OAuth pour la diffusion de maliciels
Des cybercriminels exploitent le mécanisme légitime de redirection OAuth pour contourner les protections anti-hameçonnage et rediriger les utilisateurs vers des sites malveillants. Ces attaques visent particulièrement les organisations gouvernementales et du secteur public. Les liens frauduleux, souvent déguisés en requêtes d’authentification pour des services légitimes (signatures électroniques, avis, invitations, etc.), sont parfois intégrés dans des fichiers PDF pour échapper à la détection.
Fonctionnement de l’attaque :
Les attaquants créent des applications OAuth malveillantes dans des environnements qu’ils contrôlent. Ils configurent ensuite ces applications avec une URI de redirection pointant vers leur propre infrastructure. En invoquant un point de terminaison d’autorisation Entra ID avec des paramètres spécifiques, notamment prompt=none et des étendues invalides, ils forcent une redirection silencieuse vers l’URI malveillante, même si la requête semble légitime.
Conséquences pour les victimes :
- Pages de phishing avancées : Les utilisateurs sont redirigés vers des pages de phishing utilisant des cadres de type “homme du milieu” (comme EvilProxy) capables d’intercepter des cookies de session valides, permettant ainsi de contourner l’authentification multifacteur (MFA). Le paramètre
statede l’URL est utilisé pour pré-remplir l’adresse e-mail de la victime, renforçant la crédibilité de la page de phishing. - Téléchargement de maliciels : Dans d’autres cas, la redirection mène à un chemin
/downloadqui déclenche automatiquement le téléchargement d’un fichier ZIP contenant des fichiers raccourcis malveillants (.LNK) et des outils d’encapsulage HTML. L’ouverture du fichier .LNK exécute PowerShell pour la reconnaissance du système et prépare le terrain pour un chargement de DLL (DLL side-loading). Un fichier DLL malveillant (crashhandler.dll) charge ensuite la charge utile finale (crashlog.dat) en mémoire, tandis qu’un exécutable légitime (stream_monitor.exe) affiche un leurre pour distraire la victime.
Points clés :
- Exploitation de la redirection OAuth.
- Contournement des protections anti-hameçonnage et MFA.
- Diffusion de maliciels via des fichiers .LNK et des techniques de DLL side-loading.
- Ciblage des secteurs gouvernementaux et publics.
Vulnérabilités :
Aucune vulnérabilité spécifique (CVE) n’est explicitement mentionnée dans l’article. L’attaque repose sur l’abus d’un comportement légitime du protocole OAuth 2.0 et de la gestion des erreurs de redirection lorsqu’il est déclenché par des paramètres malformés.
Recommandations :
- Renforcer les permissions des applications OAuth.
- Mettre en œuvre des protections d’identité robustes.
- Appliquer des politiques d’accès conditionnel.
- Utiliser une détection inter-domaines (e-mail, identité, points d’extrémité).