Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Microsoft ha riportato recentemente di fare attenzione a cliccare sui link provenienti da Microsoft. Sembra una cosa folle, ma andiamo a capire cosa c’è dietro questa informazione.
Un’e-mail che chiede di “firmare un documento” o “confermare un account” potrebbe non indirizzare a un sito web falso, ma a un indirizzo Microsoft o Google legittimo.
È proprio questa fiducia che gli aggressori hanno sfruttato, imparando a sfruttare il meccanismo di reindirizzamento del protocollo OAuth per diffondere phishing e malware.
I ricercatori Microsoft hanno documentato campagne contro agenzie governative e organizzazioni del settore pubblico. Gli attacchi si sono concentrati su una funzionalità OAuth integrata che consente al servizio di autenticazione di reindirizzare gli utenti a un indirizzo specificato in determinate condizioni, come un errore di accesso.
Gli aggressori non hanno violato account né rubato token di accesso. Hanno invece sfruttato il comportamento del protocollo secondo le sue regole, ma a proprio vantaggio.
Lo schema è iniziato con la creazione di un’applicazione dannosa sull’infrastruttura dell’aggressore. Le sue impostazioni includevano un indirizzo di reindirizzamento a un dominio controllato, dove era ospitata una pagina di phishing o un file contenente un payload dannoso. Alla vittima è stata quindi inviata un’e-mail con un link che sembrava una normale richiesta di accesso tramite un sistema di autenticazione, come Microsoft Entra ID o gli account Google.
Il collegamento è stato intenzionalmente iniettato con parametri errati, come un ambito di accesso inesistente e la modalità “nessuna visualizzazione dell’interfaccia”. Questa combinazione ha garantito un errore di accesso. In base alle regole OAuth , in questo caso il servizio di autenticazione reindirizza il browser a un indirizzo predefinito insieme a una descrizione dell’errore. Di conseguenza, l’utente ha inizialmente visualizzato un dominio Microsoft o Google legittimo ed è stato poi reindirizzato automaticamente al sito dell’aggressore.
Le email utilizzavano oggetti familiari: firme elettroniche, documenti per la verifica, notifiche delle risorse umane, inviti a riunioni di Teams, reimpostazioni di password o messaggi relativi a problemi di previdenza sociale. A volte, il link era nascosto in un file PDF, senza testo nel corpo dell’email. In alcuni casi, l’indirizzo email della vittima veniva passato nel parametro “state”, codificato come una stringa normale, in esadecimale o utilizzando la codifica Base64, in modo da poter essere inserito automaticamente nella pagina di phishing per aumentarne la credibilità.
Dopo il reindirizzamento, alcune campagne hanno portato a classici pannelli di phishing come EvilProxy , che intercettano credenziali e file di sessione. In altri casi, l’attacco è progredito fino all’infezione del dispositivo. L’utente è stato reindirizzato a una pagina come /download/XXXX, da cui è stato scaricato automaticamente un archivio ZIP.
L’archivio conteneva un collegamento LNK e file di supporto. Una volta aperto, il collegamento avviava PowerShell, che raccoglieva informazioni di sistema utilizzando comandi come ipconfig e tasklist, quindi decomprimeva l’eseguibile steam_monitor.exe e la libreria crashhandler.dll. Il file legittimo veniva eseguito e caricava la libreria dannosa utilizzando uno schema di sostituzione DLL. La libreria decrittografava il componente aggiuntivo e stabiliva una connessione al server di comando e controllo. Gli aggressori erano quindi in grado di infiltrarsi nel sistema e di assumerne il controllo manuale.
Microsoft ha segnalato che i meccanismi di sicurezza di Microsoft Defender hanno rilevato attività sospette a livello di email, account ed endpoint. Le app OAuth dannose rilevate nell’ID Entra sono state disabilitate, ma attività simili persistono. Pertanto, l’azienda consiglia di monitorare attentamente i consensi delle app, di rivedere regolarmente i diritti di accesso e di rimuovere le integrazioni inutilizzate o ridondanti.
Gli attacchi non si basano su una vulnerabilità software, ma su funzionalità dello standard OAuth, descritte nella RFC 6749 e nei documenti successivi. Il protocollo consente il reindirizzamento in caso di errori di autenticazione. Gli aggressori attivano deliberatamente tali errori e sfruttano la fiducia nei domini dei principali provider di autenticazione per aggirare i filtri e condurre l’utente a una risorsa dannosa senza essere rilevati. Con una maggiore protezione contro il furto di password e l’aggiramento dell’autenticazione a più fattori, gli attacchi prendono sempre più di mira i meccanismi di fiducia e il comportamento dei protocolli stessi.
