Os Phishers estão Tentando Ser Desviar o MFA do Office 365 por Meio de Aplicativos Desonestos
Os phishers estão tentando se desviar da proteção de autenticação multifatorial (MFA) das contas de usuário do Office 365, enganando-os para concedere permissões a um aplicativo não autorizado. O aplicativo permite que os invasores acessem e modifiquem a conta da vítima e mantenham o acesso indefinidamente, de acordo com pesquisadores da Cofense.
Índice
Os Detalhes do Ataque
Os cibercriminosos começam com um e-mail de convite direcionando as suas presas em potencial para um arquivo hospedado no SharePoint da Microsoft, uma plataforma colaborativa que se integra ao MS Office. O documento divulgado por esses métodos aafirma que o destinatário pode receber um bônus no seu salário para o primeiro trimestre de 2019.
Os usuários que são enganados e seguem o link podem acessar uma página legítima do MS Office 365, mas, verificando o URL, veem uma inconsistência. A longa URL possui vários parâmetros que mostram que a inserção de credenciais de login e o pressionamento do botão de logon podem solicitar um token de identificação e um código de autorização, que podem ser enviados ao domínio que finge ser o site legítimo do MS Office 365: (hxxps://officehnoc[ .]com.office).
Isso mostra que a solicitação do aplicativo pode obter permissão para acessar a conta da vítima, incluindo a leitura e a modificação de conteúdo, tais como documentos e arquivos. O mesmo vale para o acesso aos contatos da vítima e prolonga o acesso indefinidamente. O código de autorização é trocado por um token de acesso apresentado pelo aplicativo não autorizado ao Microsoft Graph.
Como os Invasores estão Ignorando a Proteção do MFA
Os aplicativos que exigem acesso aos dados do Office 365 em nome dos usuários passam por autorizações do MS Graph, mas primeiro devem obter um token de acesso da Microsoft Identity Platform. É aí que o OAuth2 e o OIDC estão envolvidos, com o último autenticando o usuário que pode receber acesso. Se o processo estiver concluído, o primeiro autoriza o acesso ao aplicativo, tudo sem expor credenciais.
O invasor não precisa conhecer as credenciais de login da vítima para fazer esse ataque funcionar, pois o acesso pode ser feito sem ele ou com o código MFA. Depois de um tempo, o aplicativo expira o token de acesso recebido, mas também é permitido obter tokens de atualização, que são trocados por novos tokens de acesso. Isso permite que ele tenha acesso indefinido a um dispositivo. Após o login, o usuário é solicitado a confirmar se deseja conceder ao aplicativo as permissões listadas. Na maioria dos casos, os usuários podem recusar, mas aqueles que dão acesso a suas contas as abrem para o abuso.
Evitando o Problema
Esse tipo de phishing é um exemplo de autores de ameaças que se adaptam para encontrar novas vias de ataque. Não há necessidade de comprometer credenciais, pois mesmo medidas de segurança como o MFA podem ser ignoradas se os usuários estiverem concedendo permissões a aplicativos questionáveis. Se os usuários não agirem, os administradores do domínio talvez precisem identificar e lidar com aplicativos suspeitos que os seus usuários podem ter aprovado, de acordo com os pesquisadores. Depois que o acesso foi revogado para esses aplicativos não autorizados, as vítimas precisam alterar as suas senhas do Office 365 e verificar se os invasores desativaram a proteção MFA ou quaisquer outras configurações e opções.