Des chercheurs ont découvert un ensemble de nouvelles méthodes pour lancer des attaques par redirection d'URL contre des implémentations OAuth 2.0 faibles. Ces attaques peuvent conduire au contournement de la détection du phishing et des solutions de sécurité de la messagerie, tout en donnant aux URL de phishing un faux semblant de légitimité aux victimes.

Les campagnes en question ont été détectées par l’entreprise Proofpoint et ciblent Outlook Web Access, PayPal, Microsoft 365 et Google Workspace.

OAuth 2.0 est un protocole d'autorisation largement adopté qui permet à une application Web ou de bureau d'accéder aux ressources contrôlées par l'utilisateur final, telles que son courrier électronique, ses contacts, ses informations de profil ou ses comptes sociaux.

Lorsqu'ils développent des applications OAuth, les développeurs ont la possibilité de choisir parmi plusieurs types de flux disponibles, en fonction de leurs besoins. Ces flux exigent la définition de paramètres spécifiques, tels qu'un identifiant client unique, une portée et une URL de redirection ouverte après une authentification réussie.

Cependant, Proofpoint a découvert que les attaquants pouvaient modifier certains de ces paramètres dans les flux d'autorisation valides, déclenchant une redirection de la victime vers un site fourni par l'attaquant ou une URL de redirection dans une app OAuth malveillante enregistrée.

En utilisant des URL OAuth qui ont été modifiées pour produire des erreurs dans le flux d'authentification, les campagnes de phishing peuvent présenter des URL d'apparence légitime qui redirigent finalement vers des pages de destination qui tentent de voler les identifiants de connexion.

D'autres fournisseurs OAuth sont affectés par des bogues similaires qui facilitent la création d'URL de confiance qui redirigent vers des sites malveillants.

Par exemple, GitHub permet à quiconque d'enregistrer une application OAuth, y compris les acteurs de la menace qui créent des applications dont les URL de redirection mènent à des pages d'atterrissage de phishing.

Les acteurs de menace peuvent alors créer des URL OAuth contenant des URL de redirection d'apparence légitime, que GitHub ignore et utilise plutôt la redirection définie par l'application. Pour l'utilisateur, cependant, l'URL semble légitime et il semblera digne de confiance pour cliquer.

Google rend les choses encore plus faciles, car un acteur de la menace peut enregistrer une application OAuth de connexion et définir un paramètre "redirect_uri" sur une URL malveillante, ce qui conduit la victime à cet endroit juste après l'authentification.

Le rapport de Proofpoint propose plusieurs techniques d'atténuation de ces bogues, la plus efficace étant de ne pas ignorer les paramètres invalides et d'afficher plutôt une page d'erreur.

De même, la mise en place d'un long délai avant la redirection automatique ou l'introduction d'un clic supplémentaire pour que la redirection ait lieu éviterait à beaucoup de se faire hameçonner.

"L'hameçonnage d'utilisateurs innocents reste la méthode d'attaque la plus efficace pour compromettre les informations d'identification des utilisateurs et pénétrer dans le réseau de votre organisation. Les systèmes de protection des e-mails sont impuissants face à ces attaques ", conclut Proofpoint.

"En abusant de l'infrastructure OAuth, ces attaques délivrent des e-mails malveillants à leurs cibles sans être détectées. De telles attaques sur PayPal peuvent conduire au vol d'informations financières telles que des cartes de crédit. Les attaques de phishing sur Microsoft peuvent conduire à des fraudes, des vols de propriété intellectuelle, etc."