Microsoft cảnh báo tấn công lạm dụng cơ chế chuyển hướng OAuth

[Sevastopol]

Microsoft vừa cảnh báo về một chiến dịch tấn công mạng nhắm vào các cơ quan chính phủ và tổ chức khu vực công, trong đó tin tặc lợi dụng cơ chế chuyển hướng hợp pháp trong giao thức OAuth để vượt qua các lớp bảo vệ chống phishing trên email và trình duyệt.
​

​

Theo nhóm nghiên cứu Microsoft Defender, đây là hình thức tấn công dựa trên danh tính, không khai thác lỗ hổng phần mềm hay đánh cắp token trực tiếp mà lạm dụng cách thức hoạt động “đúng theo thiết kế” của chuẩn OAuth.

Cụ thể, kẻ tấn công tạo một ứng dụng OAuth độc hại trong tenant do chúng kiểm soát, cấu hình redirect URI trỏ về hạ tầng do mình vận hành. Sau đó, chúng phát tán email giả mạo với các chủ đề như yêu cầu ký điện tử, thông báo an sinh xã hội, lời mời họp, nội dung tài chính hoặc chính trị, kèm theo liên kết OAuth đã bị thao túng tham số.

Các liên kết này thường sử dụng tham số scope không hợp lệ hoặc prompt=none để cố tình kích hoạt lỗi xác thực. Khi lỗi xảy ra, nhà cung cấp danh tính như Microsoft Entra ID hoặc Google Workspace sẽ thực hiện chuyển hướng người dùng đến redirect URI đã đăng ký thuộc quyền kiểm soát của kẻ tấn công. Do URL ban đầu mang domain hợp pháp của nhà cung cấp danh tính, nhiều hệ thống bảo mật email khó phát hiện và chặn kịp thời.

Trong một số trường hợp, nạn nhân bị chuyển hướng đến đường dẫn tải xuống tự động, cung cấp tệp ZIP chứa file shortcut (.LNK). Khi mở, file này kích hoạt PowerShell để thu thập thông tin hệ thống, sau đó triển khai kỹ thuật DLL side-loading thông qua một tệp thực thi hợp pháp như “steam_monitor.exe”. DLL độc hại (crashhandler.dll) sẽ giải mã tệp payload (crashlog.dat) và nạp trực tiếp vào bộ nhớ, thiết lập kết nối ra máy chủ điều khiển từ xa (C2). Chuỗi hành vi này cho thấy khả năng đây là giai đoạn tiền mã độc tống tiền hoặc chuẩn bị cho hoạt động điều khiển thủ công từ xa.
​

Sơ đồ tổng quan về cuộc tấn công chuyển hướng OAuth - Nguồn: Microsoft​

Ở các chiến dịch khác, người dùng bị chuyển hướng tới trang lừa đảo vận hành bằng bộ công cụ trung gian như EvilProxy, hoạt động theo mô hình Adversary-in-the-Middle (AitM). Cách tiếp cận này cho phép kẻ tấn công thu thập thông tin đăng nhập và chặn session cookie hợp lệ, từ đó có thể vượt qua cả cơ chế xác thực đa yếu tố. Đáng chú ý, tham số “state” vốn được thiết kế để liên kết yêu cầu và phản hồi trong OAuth đã bị tái sử dụng để truyền và tự động điền địa chỉ email nạn nhân lên trang giả mạo, làm tăng mức độ tin cậy.

Microsoft khuyến cáo các tổ chức siết chặt cơ chế cấp quyền cho ứng dụng OAuth, hạn chế việc người dùng tự chấp thuận cấp quyền cho ứng dụng bên thứ ba, định kỳ rà soát và loại bỏ các ứng dụng không còn sử dụng hoặc có đặc quyền quá mức, đồng thời triển khai chính sách Conditional Access và giám sát chéo giữa email, hệ thống danh tính và thiết bị đầu cuối.

Thay vì tìm kiếm lỗ hổng kỹ thuật, tin tặc ngày càng tập trung khai thác các hành vi hợp lệ của giao thức và quy trình xác thực. Trong bối cảnh nhiều cơ quan, doanh nghiệp tại Việt Nam sử dụng nền tảng định danh đám mây như Entra ID hoặc Google Workspace, việc kiểm soát ứng dụng OAuth và giám sát luồng chuyển hướng xác thực cần được xem là ưu tiên trong chiến lược phòng thủ an ninh mạng hiện nay.
​

Theo The Hacker News​