微軟、谷歌OAuth漏洞被用于釣魚攻擊

微軟、谷歌OAuth漏洞被用于釣魚攻擊。

Proofpoint研究人員發現一系列針對弱OAuth 2.0實現的URL重定向攻擊。攻擊可以讓釣魚檢測和郵件安全解決方案，并使受害者感覺釣魚URL看起來是合法的。相關的攻擊活動目標包括Outlook Web Access、PayPal、Microsoft 365和Google Workspace。

 攻擊流程

OAuth 2.0 被廣泛應用于授權協議中，認證協議允許web或桌面客戶端對終端用戶控制的資源進行訪問，包括郵件、聯系人、個人簡介、社交媒體賬號等。

認證特征依賴于用戶對特定應用的授權訪問，會創建一個訪問token，其他網站可以用該token來訪問用戶資源。在開發OAuth應用時，開發者可以根據其需要選擇不同的可用流類型，具體流程如下所示：

微軟 OAuth流程

OAuth流程要求app開發者定義特定的參數，比如唯一的客戶端ID、訪問和成功認證后打開的重定向URL。

Proofpoint安全研究人員發現攻擊者可以修改有效授權流程中的參數，觸發受害者重定向到攻擊者提供的站點或者在注冊的惡意OAuth app中重定向URL。

受害者點擊看似合法的屬于微軟的URL后，就會錯誤地認為該URL是合法的，就會被重定向到惡意站點。重定向可以通過修改'response_type'查詢參數來觸發，在經過微軟授權后，受害者就會進入一個釣魚頁面。

如果 'scope' 參與被編輯來觸發一個無效參數（"invalid_resource"）錯誤。

微軟OAuth認證流程參數

所有的第三方應用都是通過一個缺失response_type查詢參數的URL來分發的，目的是重定向受害者到不同的釣魚URL。

微軟在認證過程中現實的用戶知情同意

第三方攻擊場景是用戶在知情同意頁面點擊取消，也會觸發一個到惡意應用URL的重定向。Proofpoint研究人員解釋說在授權開始前觸發重定向也是有可能的，具體過程與選擇的OAuth有關。比如，在Azure Portal的流程中，通過在認證流程中使用修改的OAuth URL來產生錯誤，釣魚攻擊活動就可以展現看似合法的URL，最終重定向用戶到竊取用戶登錄憑證的加載頁面。

這些攻擊并不是理論上的，Proofpoint研究人員已經發現了利用該漏洞重定向用戶到釣魚頁面的現實攻擊。

 擴展問題

其他OAuth提供商也受到類似漏洞的影響，使得其很容易創建重定向到惡意網站的可信URL。比如，GitHub允許任何人注冊OAuth app，包括創建重定向用戶到釣魚URL頁面的APP的攻擊者。

然后，攻擊者可以創建含有看似合法的重定向URL的OAuth URL，GitHub會使用app定義的重定向URL。對用戶來說，URL看似是合法的和可信的。

攻擊者利用谷歌來注冊OAuth應用和設置到惡意URL的'redirect_uri'就更加簡單了。因為谷歌并不驗證URL，因此URL可以是釣魚頁面，惡意軟件頁面或其他頁面。