هشدار درباره سوءاستفاده از مجوزهای دسترسی Microsoft 365

کمیته رکن چهارم – پژوهشگران امنیت سایبری از فعالیت یک پلتفرم «فیشینگ به‌عنوان سرویس» با نام EvilTokens خبر داده‌اند که طی چند هفته صدها سازمان استفاده‌کننده از Microsoft 365 را هدف قرار داده است.

به گزارش کمیته رکن چهارم، این حملات بر پایه سوءاستفاده از مجوزهای دسترسی OAuth انجام می‌شوند؛ روشی که در آن کاربر بدون افشای رمز عبور، دسترسی بلندمدت به حساب خود را در اختیار مهاجم قرار می‌دهد.

در این حملات، قربانی پیامی دریافت می‌کند که از او می‌خواهد یک کد را در آدرس رسمی microsoft.com/devicelogin وارد کرده و فرایند عادی احراز هویت دومرحله‌ای را تکمیل کند. کاربر تصور می‌کند یک ورود عادی را تأیید کرده، اما در واقع یک «توکن دسترسی» برای مهاجم صادر می‌شود.

این توکن می‌تواند به مهاجم اجازه دسترسی به ایمیل‌ها، فایل‌ها، تقویم و فهرست مخاطبان را بدهد.

پژوهشگران این روش را «فیشینگ مبتنی بر مجوز دسترسی» توصیف کرده‌اند، زیرا مهاجم بدون نیاز به سرقت رمز عبور یا دور زدن احراز هویت دومرحله‌ای، از اعتماد کاربران به صفحات رسمی تأیید دسترسی سوءاستفاده می‌کند.

بررسی‌ها نشان می‌دهد این توکن‌ها حتی پس از تغییر رمز عبور نیز ممکن است برای هفته‌ها یا ماه‌ها فعال باقی بمانند؛ مگر آنکه به‌صورت مستقیم غیرفعال شوند.

کارشناسان هشدار داده‌اند که افزایش استفاده از:
سرویس‌های ابری
ابزارهای هوش مصنوعی
افزونه‌های مرورگر
و اتصال‌های میان‌برنامه‌ای باعث شده کاربران به تأیید صفحات دسترسی عادت کنند و همین موضوع سطح حمله را افزایش داده است.

در این گزارش همچنین به مفهوم «ترکیب‌های سمی» اشاره شده؛ وضعیتی که در آن چند دسترسی جداگانه در کنار یکدیگر امکان دسترسی گسترده به داده‌های سازمانی را فراهم می‌کنند.

پیش‌زمینه

در سال‌های اخیر تمرکز اصلی امنیت سازمان‌ها بر جلوگیری از سرقت رمز عبور و استفاده از احراز هویت دومرحله‌ای بوده است. اما مهاجمان اکنون به‌جای سرقت مستقیم رمز عبور، مجوزهای دسترسی و توکن‌های بلندمدت را هدف قرار می‌دهند؛ موضوعی که کنترل و شناسایی آن دشوارتر است.

جمع‌بندی

پژوهشگران تأکید کرده‌اند سازمان‌ها باید مجوزهای OAuth و دسترسی برنامه‌های ثالث را به‌صورت مداوم بررسی کنند، دسترسی‌های غیرضروری را حذف کنند و امکان غیرفعال‌سازی سریع توکن‌ها را فراهم سازند. کارشناسان هشدار می‌دهند حملات مبتنی بر OAuth و صفحات تأیید دسترسی اکنون به یکی از مهم‌ترین تهدیدهای امنیت سرویس‌های ابری تبدیل شده‌اند.

منبع: The Hacker News