マイクロソフトは、Microsoft Entra IDおよびGoogle WorkspaceのOAuth 2.0のリダイレクト機能を悪用した巧妙なフィッシング攻撃を明かしました。
これらのキャンペーンは政府機関と公共部門グループを対象とし、正当な認証フローを模倣することでメールフィルターを回避しています。
攻撃者は認証情報盗聴または脆弱性の悪用を行わず、代わりに信頼されたプロトコルリダイレクトを兵器化してマルウェアを防御をすり抜けさせます。
敵対者はテナント内に悪意のあるアプリを登録し、リダイレクトURIをフィッシングまたはマルウェアホストに指向させます。
彼らはフィッシングメールを大量送信し、電子署名要求、偽のTeamsの招待状、またはパスワードリセットのような誘い文句を使用しています。
stateパラメーターは被害者のメールをBase64、16進数、またはカスタムスキームでエンコードして、フィッシングページの自動入力を行い、現実性を向上させます。
被害者はセッションハイジャック用のEvilProxyなどのツールに到達するか、罠が仕掛けられたLNKファイルが含まれたZIPファイルを自動ダウンロードします。
これに直接関連するCVEはありません。RFC 6749/9700に基づくプロトコル悪用であり、エラーリダイレクトをリスクとしてフラグ付けしています(RFC 9700 Sec. 4.11.2)。
パッチではなくOAuthガバナンスを通じてこれをブロックしてください。アプリを監査し、ユーザーの同意を制限し、条件付きアクセスを強制してください。
悪いスコープでのURLクリック、リダイレクト後のZIPダウンロード、LNKからのPowerShell、およびDLLサイドロードを検出してください。メール・ID・エンドポイント間の相関をとるXDRをデプロイしてください。
迅速に行動し、Entraテナントを保護するために今すぐこれらのIOCを探してください。
翻訳元: https://cyberpress.org/microsoft-warns-oauth-in-entra-id/