微软和谷歌OAuth漏洞被用于钓鱼攻击。Proofpoint研究人员发现了一系列针对弱OAuth2.0实现的URL重定向攻击。这种攻击可能会混淆网络钓鱼检测和电子邮件安全解决方案,并使网络钓鱼URL在受害者看来是合法的。相关的活动目标包括OutlookWebAccess、PayPal、Microsoft365和GoogleWorkspace。攻击流程OAuth2.0在授权协议中被广泛使用。身份验证协议允许Web或桌面客户端访问最终用户控制的资源,包括电子邮件、联系人、个人资料和社交媒体帐户。身份验证功能依赖于用户对特定应用程序的授权访问,创建其他网站可用于访问用户资源的访问令牌。在开发OAuth应用时,开发者可以根据需要选择不同的可用流类型。具体流程如下:微软OAuth流程OAuth流程要求应用开发者在打开重定向URL后定义特定的参数,例如唯一的客户端ID、访问和成功认证。Proofpoint安全研究人员发现,攻击者可以修改有效授权流程中的参数,触发受害者重定向到攻击者提供的站点或已注册的恶意OAuth应用程序中的URL重定向。单击看似属于Microsoft的合法URL的受害者错误地认为该URL是合法的,并被重定向到恶意站点。重定向可以通过修改“response_type”查询参数来触发,在微软授权后,受害者将被带到钓鱼页面。如果编辑“范围”参与,则触发无效参数(“invalid_resource”)错误。MicrosoftOAuth身份验证过程参数所有第三方应用程序都通过缺少response_type查询参数的URL分发,以便将受害者重定向到不同的网络钓鱼URL。微软在认证过程中用户知情同意的现实第三方攻击场景是,用户在知情同意页面点击取消,同样会触发重定向到恶意应用程序的URL。Proofpoint研究人员解释说,根据选择的OAuth,也可以在授权开始之前触发重定向。例如,在AzurePortal的过程中,通过使用修改后的OAuthURL在身份验证过程中产生错误,网络钓鱼活动可以呈现看似合法的URL,并最终将用户重定向到窃取用户登录凭据的加载页面。这些攻击不是理论上的,Proofpoint研究人员已经看到利用此漏洞将用户重定向到网络钓鱼页面的真实世界攻击。缩放问题其他OAuth提供程序也受到类似漏洞的影响,这使得创建重定向到恶意网站的可信URL变得容易。例如,GitHub允许任何人注册OAuth应用程序,包括创建将用户重定向到网络钓鱼URL页面的应用程序的攻击者。然后,攻击者可以创建一个带有看起来合法的重定向URL的OAuthURL,GitHub将使用应用程序定义的重定向URL。对用户而言,该URL显得合法且真实。攻击者更容易使用Google注册OAuth应用程序并将“redirect_uri”设置为恶意URL。由于Google不验证网址,因此网址可能是钓鱼网页、恶意软件网页或其他网页。有关设置恶意重定向URI参数的完整技术细节,请参考:http://www.proofpoint.com/us/blog/cloud-security/microsoft-and-github-oauth-implementation-vulnerabilities-lead-redirection这篇文章翻译自:https://www.bleepingcomputer.com/news/security/microsoft-google-oauth-flaws-can-be-abused-in-phishing-attacks/如有转载请注明原文地址。
