Microsoft avertit que des acteurs de la menace motivés par des considérations financières utilisent des applications OAuth pour automatiser les attaques BEC et de phishing, envoyer du spam et déployer des machines virtuelles pour le minage de chiffrement.
OAuth (abréviation d’autorisation ouverte) est une norme ouverte permettant d’accorder aux applications un accès délégué sécurisé aux ressources du serveur en fonction des autorisations définies par l’utilisateur via une authentification et une autorisation basées sur des jetons sans fournir d’informations d’identification.
Des incidents récents étudiés par des experts en Threat Intelligence de Microsoft ont révélé que les attaquants ciblent principalement les comptes d’utilisateurs dépourvus de mécanismes d’authentification robustes (par exemple, l’authentification multifacteur) dans des attaques de phishing ou de pulvérisation de mots de passe, en se concentrant sur ceux qui ont les autorisations nécessaires pour créer ou modifier des applications OAuth.
Les comptes piratés sont ensuite utilisés pour créer de nouvelles applications OAuth et leur accorder des privilèges élevés, permettant à leur activité malveillante de rester masquée tout en garantissant un accès continu même si le compte d’origine est perdu.
Ces applications OAuth à privilèges élevés sont utilisées pour un large éventail d’activités illicites, notamment le déploiement de machines virtuelles dédiées à l’extraction de crypto-monnaie, la sécurisation de l’accès continu dans les attaques de compromission de messagerie professionnelle (BEC) et le lancement de campagnes de spam qui exploitent les noms de domaine des organisations compromises.
Un exemple notable concerne un acteur de la menace identifié sous le nom de Storm-1283, qui a créé une application OAuth pour déployer des machines virtuelles d’extraction de crypto-monnaie. L’impact financier sur les organisations ciblées variait de 10 000 à 1,5 million de dollars, selon la durée de l’attaque.
Un autre acteur de la menace a exploité les applications OAuth créées à l’aide de comptes compromis pour maintenir la persistance et lancer des campagnes de phishing à l’aide d’un kit de phishing adversaire au milieu (AiTM).
Le même agresseur a utilisé les comptes piratés pour la reconnaissance de compromission de messagerie professionnelle (BEC) en utilisant l’application Web Microsoft Outlook (OWA) pour rechercher des pièces jointes liées à « paiement » et « facture ». »
Dans des cas distincts, l’attaquant a créé des applications OAuth mutualisées pour la persistance, l’ajout de nouvelles informations d’identification et la lecture d’e-mails ou l’envoi d’e-mails de phishing via l’API Microsoft Graph.
« Au moment de l’analyse, nous avons observé que l’acteur de la menace a créé environ 17 000 applications OAuth mutualisées sur différents locataires à l’aide de plusieurs comptes d’utilisateurs compromis », a déclaré Microsoft.
« Sur la base de la télémétrie des e-mails, nous avons observé que les applications OAuth malveillantes créées par l’auteur de la menace envoyaient plus de 927 000 e-mails de phishing. Microsoft a supprimé toutes les applications OAuth malveillantes trouvées liées à cette campagne, qui s’est déroulée de juillet à novembre 2023. »
Un troisième acteur de la menace suivi comme Storm-1286 a piraté des comptes d’utilisateurs qui n’étaient pas protégés par l’authentification multifacteur (MFA) dans une série d’attaques par pulvérisation de mots de passe.
Les comptes compromis ont ensuite été utilisés pour créer de nouvelles applications OAuth dans l’organisation ciblée, ce qui a permis aux attaquants d’envoyer des milliers de spams chaque jour et, dans certains cas, des mois après la violation initiale.
Pour se défendre contre les acteurs malveillants qui utilisent abusivement les applications OAuth, Microsoft recommande d’utiliser MFA pour contrecarrer les attaques de bourrage d’informations d’identification et de phishing.
Les équipes de sécurité doivent également activer les stratégies d’accès conditionnel pour bloquer les attaques qui exploitent les informations d’identification volées, l’évaluation continue de l’accès pour révoquer automatiquement l’accès des utilisateurs en fonction des déclencheurs de risque et les valeurs par défaut de sécurité Azure Active Directory pour garantir que l’authentification multifacteur est activée et que les activités privilégiées sont protégées.