Microsoft, OAuth'u Kripto Para Madenciliği ve Kimlik Avı için Kullanan Bilgisayar Korsanlarına Karşı Uyardı

Microsoft Tehdit İstihbaratı ekibi bir analizde, "Tehdit aktörleri, kötü amaçlı etkinlikleri gizlemek için kötüye kullanabilecekleri OAuth uygulamaları oluşturmak, değiştirmek ve bunlara yüksek ayrıcalıklar vermek için kullanıcı hesaplarını tehlikeye atıyor" dedi.

"OAuth'un kötüye kullanılması, tehdit aktörlerinin başlangıçta güvenliği ihlal edilmiş hesaba erişimlerini kaybetseler bile uygulamalara erişimi sürdürmelerini de sağlıyor."

Açık Yetkilendirme'nin kısaltması olan OAuth, uygulamalara parolaları teslim etmeden diğer web sitelerindeki bilgilere güvenli bir şekilde erişme olanağı sağlayan bir yetkilendirme ve yetkilendirme çerçevesidir (kimlik doğrulamanın aksine).

Microsoft tarafından detaylandırılan saldırılarda, tehdit aktörlerinin OAuth uygulamaları oluşturma veya değiştirme izinlerine sahip, güvenliği zayıf hesaplara karşı kimlik avı veya parola püskürtme saldırıları başlattığı gözlemlendi.

Bu tür düşmanlardan biri, bir OAuth uygulaması oluşturmak ve kripto madenciliği için VM'leri dağıtmak için güvenliği ihlal edilmiş bir kullanıcı hesabından yararlanan Storm-1283'tür. Ayrıca, saldırganlar, aynı hedefleri kolaylaştırmak için fazladan bir kimlik bilgileri kümesi ekleyerek mevcut OAuth uygulamalarını erişebildikleri hesaba değiştirdiler.

Başka bir örnekte, kimliği belirsiz bir aktör, kullanıcı hesaplarının güvenliğini ihlal etti ve kalıcılığı sürdürmek ve hedeflerinden oturum çerezlerini yağmalamak ve kimlik doğrulama önlemlerini atlamak için ortadaki düşman (AiTM) kimlik avı kiti kullanan e-posta kimlik avı saldırıları başlatmak için OAuth uygulamaları oluşturdu.

Microsoft, "Bazı durumlarda, çalınan oturum çerezi yeniden oynatma etkinliğinin ardından aktör, Microsoft Outlook Web Uygulaması'nda (OWA) 'ödeme' ve 'fatura' gibi belirli anahtar sözcükleri içeren e-posta eklerini açarak BEC mali dolandırıcılık keşfi gerçekleştirmek için güvenliği ihlal edilmiş kullanıcı hesabından yararlandı" dedi.

Oturum çerezlerinin çalınmasının ardından teknoloji devi tarafından tespit edilen diğer senaryolar, kimlik avı e-postalarını dağıtmak ve büyük ölçekli spam etkinliği gerçekleştirmek için OAuth uygulamalarının oluşturulmasını içerir. Microsoft, ikincisini Storm-1286 olarak izliyor.

Bu tür saldırılarla ilişkili riskleri azaltmak için kuruluşların çok faktörlü kimlik doğrulamasını (MFA) zorunlu kılması, koşullu erişim ilkelerini etkinleştirmesi ve uygulamaları ve onaylanan izinleri düzenli olarak denetlemesi önerilir.

 

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği