OAuth consent phishing omija MFA i przejmuje dostęp do Microsoft 365 - Security Bez Tabu

OAuth consent phishing omija MFA i przejmuje dostęp do Microsoft 365

Cybersecurity news

Wprowadzenie do problemu / definicja

Consent phishing, czyli phishing oparty na zgodzie OAuth, to technika ataku, w której cyberprzestępca nie musi kraść hasła użytkownika. Zamiast tego nakłania ofiarę do samodzielnego zatwierdzenia aplikacji, która otrzymuje dostęp do danych i usług w ramach legalnego procesu autoryzacji.

To właśnie odróżnia ten model od klasycznego phishingu. Użytkownik loguje się do prawdziwej usługi, przechodzi poprawnie uwierzytelnianie wieloskładnikowe i widzi standardowy ekran zgody. Z perspektywy systemu wszystko wygląda poprawnie, choć w praktyce atakujący uzyskuje tokeny umożliwiające dalszy dostęp do zasobów Microsoft 365.

W skrócie

Nowy wektor ataku pokazuje, że MFA nie rozwiązuje wszystkich problemów związanych z bezpieczeństwem tożsamości. Jeśli użytkownik sam autoryzuje złośliwą lub przejętą aplikację OAuth, napastnik może uzyskać dostęp do poczty, plików, kalendarza i kontaktów bez potrzeby przechwytywania hasła.

  • atak wykorzystuje legalny proces logowania i zgody aplikacyjnej,
  • MFA nie blokuje nadużycia, ponieważ użytkownik uwierzytelnia się poprawnie,
  • szczególnie niebezpieczne są tokeny odświeżania zapewniające dłuższy dostęp,
  • incydent może być trudniejszy do wykrycia niż tradycyjne przejęcie konta,
  • skuteczna obrona wymaga kontroli nad zgodami OAuth i aplikacjami firm trzecich.

Kontekst / historia

Nadużycia związane z OAuth nie są nowym zjawiskiem, jednak obecnie ich znaczenie rośnie wraz z popularyzacją integracji SaaS, rozszerzeń przeglądarkowych, aplikacji zewnętrznych i narzędzi opartych na AI. Użytkownicy coraz częściej widzą ekrany zgody i przez to są bardziej skłonni akceptować żądania bez głębszej analizy.

W opisywanym scenariuszu zastosowano model phishing-as-a-service wykorzystujący przepływ device code. Ofiara otrzymuje krótki kod i jest kierowana do legalnej strony logowania Microsoft, gdzie wykonuje standardowy proces logowania oraz MFA. Po zakończeniu autoryzacji operator kampanii otrzymuje jednak korzyści wynikające z przyznanych uprawnień, w tym możliwość korzystania z tokenów i dostępu delegowanego.

Analiza techniczna

Technicznie consent phishing koncentruje się nie na kradzieży poświadczeń, lecz na uzyskaniu prawidłowo wydanych tokenów dostępu lub tokenów odświeżania. Oznacza to, że atak wykorzystuje mechanizmy zaprojektowane do integracji między aplikacjami, a nie klasyczne obejście ekranu logowania.

Szczególną rolę odgrywa tutaj OAuth 2.0 Device Authorization Grant, czyli przepływ przeznaczony dla urządzeń z ograniczonym interfejsem wejścia. W warunkach operacji socjotechnicznej może on jednak posłużyć do przekonania użytkownika, aby samodzielnie zalogował się do prawdziwej usługi i zatwierdził żądane uprawnienia. Dla systemu jest to poprawna operacja autoryzacyjna, dlatego klasyczne mechanizmy wykrywania podejrzanych logowań mogą nie zareagować.

Istotnym elementem są również tokeny odświeżania, które mogą zapewniać dłuższy czas utrzymania dostępu niż standardowe tokeny dostępu. W praktyce oznacza to, że samo zresetowanie hasła po incydencie nie zawsze wystarczy, aby skutecznie odciąć napastnika od zasobów. Jeśli organizacja nie unieważni powiązanych grantów i aktywnych tokenów, zagrożenie może utrzymywać się mimo zmiany poświadczeń.

Warto też zwrócić uwagę na ryzyko wynikające z łączenia wielu zgód między różnymi usługami SaaS. Nawet jeśli pojedyncze uprawnienie wygląda niegroźnie, zestaw kilku integracji może stworzyć rozległą powierzchnię ataku. Taka „toksyczna kombinacja” zwiększa szanse na ruch boczny, eskalację dostępu i pośrednie dotarcie do danych, których użytkownik nie kojarzy już z pierwotnie zatwierdzoną aplikacją.

Konsekwencje / ryzyko

Największym problemem jest złudne przekonanie, że wdrożenie MFA praktycznie eliminuje ryzyko przejęcia dostępu. Consent phishing pokazuje, że legalna autoryzacja może zostać użyta jako skuteczne obejście zabezpieczeń skoncentrowanych wyłącznie na haśle i procesie logowania.

  • nieautoryzowany dostęp do skrzynek pocztowych i wiadomości,
  • kradzież plików przechowywanych w usługach chmurowych,
  • podgląd kalendarzy, kontaktów i danych współdzielonych,
  • długotrwała obecność napastnika dzięki tokenom odświeżania,
  • utrudniona detekcja w systemach skupionych na analizie logowań,
  • możliwość dalszych nadużyć, w tym BEC i ruchu bocznego przez aplikacje zintegrowane.

Dla organizacji skutki mogą obejmować wyciek danych, naruszenia zgodności, utratę poufnych dokumentów oraz bardziej złożony proces reagowania incydentowego. Jeśli zespół bezpieczeństwa ograniczy działania wyłącznie do resetu haseł i zamknięcia sesji, atakujący może zachować dostęp dłużej, niż się wydaje.

Rekomendacje

Bezpieczeństwo zgód OAuth powinno być traktowane jako część ochrony tożsamości i dostępu uprzywilejowanego. Organizacje nie mogą zakładać, że poprawne logowanie zawsze oznacza bezpieczną operację. Potrzebne są zarówno zabezpieczenia prewencyjne, jak i procedury reagowania uwzględniające specyfikę tokenów i aplikacji delegowanych.

  • ograniczyć możliwość samodzielnego wyrażania zgody na aplikacje firm trzecich,
  • wprowadzić proces zatwierdzania i cyklicznego przeglądu aplikacji OAuth,
  • monitorować nowe zgody, szczególnie dla aplikacji żądających dostępu do poczty, plików i pracy offline,
  • identyfikować oraz usuwać stare, nieużywane lub nadmiernie uprzywilejowane granty,
  • wykrywać ryzykowne przepływy, w tym device code flow,
  • przygotować procedury unieważniania tokenów odświeżania, a nie tylko resetu hasła,
  • korzystać z telemetryki platform tożsamości, CASB i narzędzi do zarządzania aplikacjami OAuth,
  • szkolić użytkowników, aby ekran zgody traktowali z taką samą ostrożnością jak stronę logowania.

W praktyce kluczowe jest rozróżnienie między klasyczną kompromitacją konta a nadużyciem autoryzacji delegowanej. W tym drugim przypadku skuteczna remediacja wymaga identyfikacji konkretnej aplikacji, zakresów uprawnień oraz aktywnych tokenów powiązanych z udzieloną zgodą.

Podsumowanie

OAuth consent phishing potwierdza, że współczesne ataki na tożsamość nie zawsze polegają na przechwytywaniu haseł. Wystarczy, że użytkownik zaloguje się do legalnej usługi, przejdzie MFA i sam zatwierdzi niebezpieczną aplikację, aby napastnik zdobył trwały i trudniejszy do wykrycia dostęp do zasobów Microsoft 365.

Dla zespołów bezpieczeństwa to wyraźny sygnał, że ochrona logowania musi zostać rozszerzona o pełny nadzór nad zgodami aplikacyjnymi, tokenami i zależnościami między usługami SaaS. MFA nadal pozostaje ważnym elementem ochrony, ale samo w sobie nie zabezpiecza organizacji przed ryzykiem wynikającym z wymuszonej lub błędnie udzielonej zgody OAuth.

Źródła

  1. The New Phishing Click: How OAuth Consent Bypasses MFA
  2. Protect against consent phishing – Microsoft Entra ID
  3. Detect and Remediate Illicit Consent Grants – Microsoft Defender for Office 365
  4. Refresh tokens in the Microsoft identity platform
  5. RFC 9700: Best Current Practice for OAuth 2.0 Security