Les chercheurs ont découvert un ensemble de méthodes auparavant inconnues pour lancer des attaques de redirection d’URL contre des implémentations OAuth 2.0 faibles.
Ces attaques peuvent conduire au contournement des solutions de détection de phishing et de sécurité des e-mails, et en même temps, donnent aux URL de phishing une fausse légitimité pour les victimes.
Les campagnes pertinentes ont été détectées par Proofpoint et ciblent Outlook Web Access, PayPal, Microsoft 365 et Google Workspace.
Comment fonctionne l’attaque
OAuth 2.0 est un protocole d’autorisation largement adopté qui permet à une application Web ou de bureau d’accéder aux ressources contrôlées par l’utilisateur final, telles que son courrier électronique, ses contacts, ses informations de profil ou ses comptes sociaux.
Cette fonction d’authentification repose sur l’octroi par l’utilisateur de l’accès à une application particulière, ce qui crée un jeton d’accès que d’autres sites peuvent utiliser pour accéder aux ressources d’un utilisateur.
Lors du développement d’applications OAuth, les développeurs ont la liberté de choisir parmi différents types de flux disponibles, en fonction de leurs besoins, comme illustré ci-dessous.
Source : preuve
Ces flux nécessitent que les développeurs d’applications définissent des paramètres spécifiques, tels qu’un ID client unique, une étendue et une URL de redirection est ouverte après une authentification réussie.
Cependant, Proofpoint a découvert que les attaquants pouvaient modifier certains des paramètres dans les flux d’autorisation valides, déclenchant une redirection de la victime vers un site fourni par l’attaquant ou une URL de redirection dans une application OAuth malveillante enregistrée.
Étant donné que cela se produit après que la victime a cliqué sur une URL d’apparence légitime appartenant à Microsoft, la victime suppose à tort que l’URL est légitime, même si elle est redirigée vers un site malveillant.
Cette redirection peut être déclenchée en modifiant le paramètre de requête ‘response_type’ pour qu’il contienne une valeur invalide, et la victime est redirigée vers une page de phishing par Microsoft après authentification.
La même chose se produit si le paramètre ‘scope’ est modifié pour déclencher une erreur « invalid_resource ».
Source : preuve
« Les attaques utilisent des dizaines d’applications tierces Microsoft 365 distinctes avec des URL de redirection malveillantes définies pour elles », explique Rapport de Proofpoint
« Toutes les applications tierces étaient livrées via une URL Microsoft avec un paramètre de requête response_type manquant, avec l’intention de rediriger les utilisateurs sans méfiance vers différentes URL de phishing. »
Source : preuve
Le troisième scénario d’attaque est que l’utilisateur clique sur le bouton Annuler sur l’écran de consentement, ce qui déclenche une redirection vers l’URL de l’application malveillante.
Proofpoint explique que le déclenchement de la redirection avant même l’authentification est également possible, selon le flux OAuth sélectionné, ce qui est le cas avec Azure Portal.
En utilisant des URL OAuth qui ont été modifiées pour produire des erreurs dans le flux d’authentification, les campagnes de phishing peuvent présenter des URL d’apparence légitime qui redirigent finalement vers des pages de destination qui tentent de voler les identifiants de connexion.
Ces attaques ne sont pas théoriques, car Proofpoint a vu des exemples dans la nature d’acteurs malveillants abusant de ce bug pour rediriger les utilisateurs vers des pages de destination de phishing.
« Nous avons analysé les données de Proofpoint et trouvé des attaques ciblées à grande échelle utilisant des modi operandi (MO), dont nous discuterons en détail plus tard dans cet article de blog. Les attaques utilisent des dizaines de méthodes distinctes. Microsoft 365 des applications tierces avec des URL de redirection malveillantes définies pour elles.
« Ils ont ciblé avec succès des centaines d’utilisateurs des locataires clients de Proofpoint, et leur nombre ne cesse d’augmenter chaque jour », ont expliqué les chercheurs de Proofpoint David Krispin et Nir Swartz.
Un problème étendu
D’autres fournisseurs OAuth sont affectés par des bugs similaires qui facilitent la création d’URL fiables qui redirigent vers des sites malveillants.
Par exemple, GitHub permet à quiconque d’enregistrer une application OAuth, y compris les acteurs malveillants qui créent des applications dont les URL de redirection mènent à des pages de destination de phishing.
Les acteurs de la menace peuvent ensuite créer des URL OAuth contenant des URL de redirection d’apparence légitime, que GitHub ignore et utilise à la place la redirection définie par l’application. Pour l’utilisateur, cependant, l’URL semble légitime et semblera digne de confiance pour cliquer.
Google facilite encore plus les choses car un acteur malveillant peut enregistrer une application OAuth de connexion et définir un paramètre « redirect_uri » sur une URL malveillante, y amenant la victime juste après l’authentification.
Google ne vérifie pas cette URL, il peut donc s’agir de n’importe quoi, d’une page de phishing à un site de suppression de logiciels malveillants.
Source : preuve
Solutions possibles
Le rapport de Proofpoint fournit plusieurs techniques d’atténuation de ces bugs, la plus efficace étant de ne pas ignorer les paramètres invalides et d’afficher à la place une page d’erreur.
De plus, la mise en œuvre d’un long délai avant la redirection automatique ou l’introduction d’un clic supplémentaire pour que la redirection ait lieu éviterait à de nombreuses personnes de se faire hameçonner.
« L’hameçonnage d’utilisateurs innocents reste la méthode d’attaque la plus efficace pour compromettre les informations d’identification des utilisateurs et violer le réseau de votre organisation au cours du processus. Les systèmes de protection de la messagerie sont impuissants contre ces attaques », conclut Proofpoint.
« En abusant de l’infrastructure OAuth, ces attaques envoient des e-mails malveillants à leurs cibles sans être détectées. De telles attaques contre PayPal peuvent entraîner le vol d’informations financières telles que les cartes de crédit. Les attaques de phishing contre Microsoft peuvent entraîner des fraudes, des vols de propriété intellectuelle, etc.
L’Internet Engineering Task Force (IETF) fournit des recommandations de sécurité pour ceux qui implémentent des serveurs d’authentification OAuth.