Οι κυβερνοεγκληματίες αυξάνουν συνεχώς την αποτελεσματικότητα των επιθέσεών τους, με πιο πρόσφατο παράδειγμα τις κακόβουλες εφαρμογές OAuth που στοχεύουν χρήστες του Microsoft 365. Αυτές οι εφαρμογές μιμούνται δημοφιλείς υπηρεσίες όπως η Adobe και η DocuSign, προκειμένου να υποκλέψουν διαπιστευτήρια ή να διανείμουν κακόβουλο λογισμικό.
Πώς λειτουργούν οι επιθέσεις με OAuth εφαρμογές;
Οι επιθέσεις αυτές εκμεταλλεύονται τη διαδικασία εξουσιοδότησης OAuth, η οποία χρησιμοποιείται συχνά για την παροχή πρόσβασης σε υπηρεσίες τρίτων χωρίς να χρειάζεται να δώσουν οι χρήστες τους κωδικούς τους. Κακόβουλες εφαρμογές όπως «Adobe Drive», «Adobe Acrobat» και «DocuSign» εμφανίζονται ως νόμιμες εφαρμογές και ζητούν ελάχιστα δικαιώματα, όπως πρόσβαση στο προφίλ, email και openid. Με αυτόν τον τρόπο αποφεύγουν να προκαλέσουν υποψίες στους χρήστες.
Μόλις δοθούν αυτά τα δικαιώματα, οι επιτιθέμενοι αποκτούν πρόσβαση σε σημαντικές πληροφορίες όπως το πλήρες όνομα, email και φωτογραφία προφίλ. Αν και αυτές οι πληροφορίες φαίνονται περιορισμένες, είναι αρκετές για να διευκολύνουν περαιτέρω στοχευμένες επιθέσεις phishing ή spear-phishing.
Συχνά, οι χρήστες που έχουν εγκρίνει αυτές τις εφαρμογές ανακατευθύνονται σε ειδικά διαμορφωμένες σελίδες phishing, οι οποίες επιχειρούν να υποκλέψουν τα διαπιστευτήρια του Microsoft 365 ή να εγκαταστήσουν κακόβουλο λογισμικό στη συσκευή τους.
Γιατί οι επιθέσεις αυτές είναι δύσκολο να εντοπιστούν;
Οι κακόβουλες εφαρμογές OAuth είναι ιδιαίτερα επικίνδυνες, καθώς παρακάμπτουν εύκολα τα παραδοσιακά συστήματα ασφαλείας που βασίζονται σε έλεγχο φήμης ή φίλτρα anti-spoofing. Επιπλέον, επειδή χρησιμοποιούν αυθεντικά κανάλια της Microsoft για την αίτηση πρόσβασης, συχνά δεν ενεργοποιούν ειδοποιήσεις ασφαλείας, καθιστώντας δύσκολο τον εντοπισμό τους.
Πώς να προστατευτείτε από κακόβουλες εφαρμογές OAuth
Για να ενισχύσετε την ασφάλεια του οργανισμού σας και να προστατευτείτε από αυτού του είδους τις επιθέσεις, συνιστώνται οι εξής πρακτικές:
- Επαλήθευση αιτημάτων OAuth: Πάντα επιβεβαιώνετε την αυθεντικότητα της εφαρμογής που ζητά πρόσβαση, ακόμα και όταν φαίνεται νόμιμη.
- Αναθεώρηση εγκεκριμένων εφαρμογών: Χρησιμοποιήστε την υπηρεσία «My Apps» της Microsoft (myapplications.microsoft.com) για να ελέγχετε τακτικά και να αφαιρείτε ύποπτες εφαρμογές.
- Περιορισμός δικαιωμάτων χρήστη: Οι διαχειριστές μπορούν να περιορίσουν τη δυνατότητα των χρηστών να εγκρίνουν εφαρμογές τρίτων μέσα από τις ρυθμίσεις «Enterprise Applications → Consent and Permissions».
- Ενεργοποίηση Πολυπαραγοντικής Επαλήθευσης (MFA): Η χρήση MFA προσφέρει ένα επιπλέον επίπεδο προστασίας, μειώνοντας σημαντικά τον κίνδυνο παραβίασης των λογαριασμών.
- Εφαρμογή πολιτικών υπό όρους πρόσβασης: Ορίστε πολιτικές πρόσβασης μέσω Azure Active Directory που επιτρέπουν την είσοδο μόνο από ασφαλείς τοποθεσίες και συσκευές.
- Εκπαίδευση προσωπικού: Ενημερώστε τους χρήστες σχετικά με τους κινδύνους και πώς να εντοπίζουν ύποπτα αιτήματα εξουσιοδότησης OAuth.
Ακολουθώντας τις παραπάνω πρακτικές, μπορείτε να περιορίσετε σημαντικά τους κινδύνους που ενέχουν οι κακόβουλες εφαρμογές OAuth και να προστατεύσετε αποτελεσματικότερα τα δεδομένα του οργανισμού σας.
Πηγές: CyberSecurityNews, BleepingComputer
