Tin tặc đang khai thác lỗ hổng OAuth để duy trì truy cập - và việc đặt lại mật khẩu cũng không cứu được bạn.
Các điểm chính trong bài:
- Các nhà nghiên cứu đã quan sát thấy những kẻ tấn công đang vũ khí hóa các ứng dụng OAuth.
- Những kẻ tấn công giành được quyền truy cập (access) mà vẫn tồn tại ngay cả khi thay đổi mật khẩu và (xác thực) MFA.
- Đây không chỉ là một bằng chứng lý thuyết (proof of concept) - nó đã được quan sát thấy trong thực tế.
Các nhà nghiên cứu tại Proofpoint đã phát hiện ra một chiến thuật được các tác nhân đe dọa sử dụng để vũ khí hóa các ứng dụng OAuth nhằm giành được quyền truy cập liên tục (persistent access) bên trong các môi trường đã bị xâm phạm - nơi tin tặc có thể duy trì quyền truy cập ngay cả sau khi MFA hoặc việc đặt lại mật khẩu được thực hiện.
Cuộc tấn công này có khả năng tàn phá nặng nề, vì một kẻ tấn công có quyền truy cập vào tài khoản đám mây có thể mở đường cho một loạt các cuộc xâm nhập khác. Quyền truy cập tài khoản này sau đó có thể được sử dụng để tạo và ủy quyền cho các ứng dụng nội bộ với các quyền tùy chỉnh - cho phép truy cập vào tệp tin, liên lạc và vượt qua hàng rào bảo mật.
Tội phạm mạng ngày càng gia tăng sử dụng các chiến thuật chiếm đoạt tài khoản đám mây (ATO) trong những năm gần đây - vì nó cho phép chúng chiếm quyền điều khiển tài khoản, lấy cắp thông tin và sử dụng điều này làm bàn đạp cho các cuộc tấn công khác. Cả tần suất và mức độ nghiêm trọng đều đã gia tăng, với các chiến lược đang phát triển nhanh chóng.
Truy cập liên tục
Các nhà nghiên cứu đã phát triển một bằng chứng lý thuyết (proof of concept) để phác thảo cuộc tấn công này có thể trông như thế nào trong thực tế, bằng cách xây dựng một công cụ tự động hóa việc tạo ra các ứng dụng nội bộ độc hại bên trong môi trường đám mây đã bị vi phạm.
Một ví dụ ngoài đời thực cũng được phát hiện khi các chuyên gia phát hiện một nỗ lực đăng nhập thành công, mà dựa trên thông tin tình báo về mối đe dọa, có khả năng liên quan đến các cuộc tấn công kỹ thuật xã hội 'Kẻ thù ở giữa' (Adversary-in-the-middle).
Các nhà nghiên cứu giải thích: “Sau khoảng 4 ngày, mật khẩu của người dùng đã được thay đổi, sau đó chúng tôi quan sát thấy các nỗ lực đăng nhập không thành công từ một địa chỉ IP dân cư ở Nigeria, cho thấy nguồn gốc có thể của tác nhân đe dọa”.
“Tuy nhiên, ứng dụng vẫn hoạt động. Trường hợp nghiên cứu này là một ví dụ cụ thể về các kiểu tấn công được thảo luận trong blog của chúng tôi, chứng tỏ rằng những mối đe dọa này không chỉ đơn thuần là lý thuyết - mà là các rủi ro đang hoạt động, bị khai thác trong bối cảnh mối đe dọa hiện tại.”
Cách duy nhất để thu hồi quyền truy cập trong những trường hợp này trước khi thông tin xác thực bí mật (secret credentials) hết hạn (vốn có giá trị trong hai năm) là loại bỏ quyền (permissions) theo cách thủ công, vì vậy hãy đảm bảo xem xét nhất quán và định kỳ các quyền tài khoản và liên tục giám sát các ứng dụng.