OAuth är en standard och ett protokoll för att ge tillgång till ett konto och utföra olika uppgifter till en tredjepartsapplikation. OAuth är ett ofta förekommande sätt att ge till exempel ekonomiappar tillgång till användarens bankkonto eller att ge säkerhetsprodukter tillgång till konton för att söka efter skadlig kod. Tredjepartsapplikationen får en inloggningspollett som ger tillgång till kontot utan att ge ut lösenordet. Protokollet anses säkert så länge användaren är medveten om vilka rättigheter tredjepartsapplikationen ges, och så länge applikationen är seriös och äkta.

Men vad händer om cyberkriminella försöker härma en tredjepartsapplikation, utnyttjar OAuth-protokollet och försöker få tillgång till ett konto, till exempel Office 365? Det är precis vad säkerhetsanalytiker på PhishLabs har upptäckt. Angriparna är alltså inte ute efter att komma över användarens inloggningsuppgifter, det tillåter nämligen inte OAuth, utan angriparna vill få tillgång till användarens Office 365-konto med så många rättigheter som möjligt.

Kringgår de flesta varningssystem

Den nu upptäckta kampanjen är skickligt utformad, och enligt Michael Tyler på PhishLabs går attacken runt de flesta varningssystem, är beständig och är svår att upptäcka när den väl lyckats om man inte vet exakt vad man letar efter. Nätfiskekampanjen kommer till användaren i form av en epost och innehåller delningslänkar från OneDrive eller SharePoint, och det är här användaren har en chans att upptäcka bedrägeriet, skriver Bleeping Computer.

Om användaren klickar på en en dokumentlänk kommer hen att länkas till den äkta microsoftsida som visar förfrågningar om OAuth-rättigheter för tredjepartsappar. Innan användaren kan svara på förfrågningen måste användaren logga in på Office 365-kontot, och även detta sker via en äkta microsoftsida, och utan att lösenordet avslöjas. Efter detta visas användaren en dialogruta, även den äkta, där användaren kan tillåta eller neka tredjepartsappen tillgång till kontot.

Om användaren tillåter tredjepartsappen kommer denna att få full tillgång till kontakter, profiler, epost, e-postinställningar och alla filer som användaren har tillgång till. Det enda appen inte kan göra är att skicka epost. Vad som däremot skulle kunna hända är att angriparen krypterar all epost, men det har endast visats i en proof-of-concept och har inte observerats i verkligheten.

Riktade mot specifika användare

Den här typen av attacker är smalt riktade mot specifika användare (spear phishing) på grund av att attacker kräver rätt mycket resurser, och används förmodligen för att rekognoscera kontot för att ta sig vidare i nätverket och nå fram till den egentliga måltavlan.

Det är inte enkelt att motverka denna attack, bortsett från att vara observant på det initiala e-postmeddelandet. De normala metoderna för att skydda Office 365-konton, som lösenordsbyte, rensa sessioner och att aktivera tvåfaktorautentisering fungerar inte i detta fall. Administratörer bör vara mycket noga med vilka applikationer och tillägg som tillåts i systemet.

Läs också:
Microsoft presenterar verktyg mot nätfiske – visar hela kampanjen
Nytt smart nätfiske – bifogar landningssidan på fil