OAuth támadások észlelésére
A Wiz.io jelentése szerint a tradicionális jelszavak és jelszavas hitelesítés ma már kevés, a támadók az OAuth-alapú hitelesítési folyamatokat kezdik visszaélésre fordítani — hogy kimazsolázzák a leggyengébben védett pontokat, kikerüljék a többtényezős azonosítást (MFA) és tartós, nehezen észlelhető hozzáférést szerezzenek a felhő- vagy vállalati környezetekhez.
Három fő támadási vektor vált ismertté és elterjedtté, az ún. device-code phishing, a klasszikus ROPC (Resource Owner Password Credentials) visszaélés, és az így megszerzett hozzáférés után végrehajtott eszköz-regisztráció(device registration) vagy jelszó-mentes hitelesítés beállítása.
A device-code phishing során a támadó létrehoz egy eszkódkódot, amelyet áldozatául kiszemelt felhasználónak emailben vagy más módon elküld — például úgy, mintha egy hivatalos rendszer kérné —, és őt ráveszi, hogy beírja egy böngészőben. Az autentikáció ilyenkor gyakran sikeres, akár MFA használatával is, ám a kiállított hozzáférési token (access token) a támadónál landol, nem az eredeti felhasználónál. Így a védelmi mechanizmus (MFA + OAuth) megtévesztésre alkalmas.
A ROPC-alapú visszaélés pedig egy régebbi, de továbbra is élő OAuth-folyam, amelynél felhasználónév + jelszó közvetlenül access tokenre válthatók. Ez a folyamat gyakran nem kényszerít MFA-t, nem használ böngészős átirányítást és tipikusan nem igényel felhasználói interakciót — így ideális automatizált botok vagy brute-force kampányok számára. Ha ilyen visszaélés sikeres, a támadó azonnal hozzáférést kap – ráadásul olyan alkalmazáshoz és erőforrásokhoz is, amelyek admin-szintű műveletekre képesek.
A legsúlyosabb végjáték a kompromittálás után következik, miután a támadó szerzett access tokent, gyakran eszköz-regisztrációt hajt végre: új eszközt ad hozzá a szervezethez, vagy beállít jelszó-mentes hitelesítést (Windows Hello for Business-t). Ezért még akkor is aktív maradhat az illetéktelen hozzáférés, ha később jelszót váltanak, vagy MFA-t kikényszerítik.
