自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

微軟、谷歌OAuth漏洞被用于釣魚攻擊

作者:ang010ela
安全 黑客攻防
Proofpoint研究人員發(fā)現(xiàn)一系列針對(duì)弱OAuth 2.0實(shí)現(xiàn)的URL重定向攻擊。攻擊可以讓釣魚檢測(cè)和郵件安全解決方案,并使受害者感覺釣魚URL看起來是合法的

[[440288]]

微軟、谷歌OAuth漏洞被用于釣魚攻擊。

Proofpoint研究人員發(fā)現(xiàn)一系列針對(duì)弱OAuth 2.0實(shí)現(xiàn)的URL重定向攻擊。攻擊可以讓釣魚檢測(cè)和郵件安全解決方案,并使受害者感覺釣魚URL看起來是合法的。相關(guān)的攻擊活動(dòng)目標(biāo)包括Outlook Web Access、PayPal、Microsoft 365和Google Workspace。

攻擊流程

OAuth 2.0 被廣泛應(yīng)用于授權(quán)協(xié)議中,認(rèn)證協(xié)議允許web或桌面客戶端對(duì)終端用戶控制的資源進(jìn)行訪問,包括郵件、聯(lián)系人、個(gè)人簡(jiǎn)介、社交媒體賬號(hào)等。

認(rèn)證特征依賴于用戶對(duì)特定應(yīng)用的授權(quán)訪問,會(huì)創(chuàng)建一個(gè)訪問token,其他網(wǎng)站可以用該token來訪問用戶資源。在開發(fā)OAuth應(yīng)用時(shí),開發(fā)者可以根據(jù)其需要選擇不同的可用流類型,具體流程如下所示:

微軟 OAuth流程

OAuth流程要求app開發(fā)者定義特定的參數(shù),比如唯一的客戶端ID、訪問和成功認(rèn)證后打開的重定向URL。

Proofpoint安全研究人員發(fā)現(xiàn)攻擊者可以修改有效授權(quán)流程中的參數(shù),觸發(fā)受害者重定向到攻擊者提供的站點(diǎn)或者在注冊(cè)的惡意OAuth app中重定向URL。

受害者點(diǎn)擊看似合法的屬于微軟的URL后,就會(huì)錯(cuò)誤地認(rèn)為該URL是合法的,就會(huì)被重定向到惡意站點(diǎn)。重定向可以通過修改'response_type'查詢參數(shù)來觸發(fā),在經(jīng)過微軟授權(quán)后,受害者就會(huì)進(jìn)入一個(gè)釣魚頁面。

如果 'scope' 參與被編輯來觸發(fā)一個(gè)無效參數(shù)("invalid_resource")錯(cuò)誤。

微軟OAuth認(rèn)證流程參數(shù)

所有的第三方應(yīng)用都是通過一個(gè)缺失response_type查詢參數(shù)的URL來分發(fā)的,目的是重定向受害者到不同的釣魚URL。

微軟在認(rèn)證過程中現(xiàn)實(shí)的用戶知情同意

第三方攻擊場(chǎng)景是用戶在知情同意頁面點(diǎn)擊取消,也會(huì)觸發(fā)一個(gè)到惡意應(yīng)用URL的重定向。Proofpoint研究人員解釋說在授權(quán)開始前觸發(fā)重定向也是有可能的,具體過程與選擇的OAuth有關(guān)。比如,在Azure Portal的流程中,通過在認(rèn)證流程中使用修改的OAuth URL來產(chǎn)生錯(cuò)誤,釣魚攻擊活動(dòng)就可以展現(xiàn)看似合法的URL,最終重定向用戶到竊取用戶登錄憑證的加載頁面。

這些攻擊并不是理論上的,Proofpoint研究人員已經(jīng)發(fā)現(xiàn)了利用該漏洞重定向用戶到釣魚頁面的現(xiàn)實(shí)攻擊。

擴(kuò)展問題

其他OAuth提供商也受到類似漏洞的影響,使得其很容易創(chuàng)建重定向到惡意網(wǎng)站的可信URL。比如,GitHub允許任何人注冊(cè)O(shè)Auth app,包括創(chuàng)建重定向用戶到釣魚URL頁面的APP的攻擊者。

然后,攻擊者可以創(chuàng)建含有看似合法的重定向URL的OAuth URL,GitHub會(huì)使用app定義的重定向URL。對(duì)用戶來說,URL看似是合法的和可信的。

攻擊者利用谷歌來注冊(cè)O(shè)Auth應(yīng)用和設(shè)置到惡意URL的'redirect_uri'就更加簡(jiǎn)單了。因?yàn)楣雀璨⒉或?yàn)證URL,因此URL可以是釣魚頁面,惡意軟件頁面或其他頁面。

設(shè)定惡意重定向URI參數(shù)

完整技術(shù)細(xì)節(jié)參見:http://www.proofpoint.com/us/blog/cloud-security/microsoft-and-github-oauth-implementation-vulnerabilities-lead-redirection

本文翻譯自:https://www.bleepingcomputer.com/news/security/microsoft-google-oauth-flaws-can-be-abused-in-phishing-attacks/如若轉(zhuǎn)載,請(qǐng)注明原文地址。

 

責(zé)任編輯:姜華 來源: 嘶吼網(wǎng)
微軟谷歌OAuth漏洞
相關(guān)推薦

2011-08-10 13:47:38

2012-07-02 10:21:43

2021-10-26 08:50:42

釣魚工具TodayZoo攻擊

2014-11-04 11:19:51

2024-04-30 11:08:42

2013-07-10 10:11:06

2018-07-24 15:23:18

2024-01-02 14:25:31

2024-03-14 11:39:36

2013-07-10 10:40:18

2023-03-16 19:23:39

2015-02-04 15:35:37

2021-03-19 10:11:44

釣魚郵件攻擊惡意軟件

2013-05-06 09:23:38

IE8漏洞微軟

2010-07-15 10:57:44

2023-08-03 17:57:43

2023-12-18 16:15:22

2021-12-01 11:25:15

MSHTML微軟漏洞

2010-01-18 10:38:27

點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)