Хакеры обходят OAuth и сохраняют доступ даже после смены пароля
Следите за новостями по этой теме!
Подписаться на «Рифы и пачки / Твоя культура»
Исследователи из компании Proofpoint выявили новый подход хакеров к взлому: злоумышленники активно используют приложения на базе протокола OAuth для сохранения постоянного доступа к взломанным аккаунтам облачных сервисов. Прелесть этой схемы для атакующих — им удаётся оставаться в системе даже после смены пароля владельцем или активации двухфакторной аутентификации (MFA).
Что такое OAuth? В двух словах, это способ давать приложениям доступ к вашему аккаунту (например, к Google-документам или корпоративной почте) без передачи пароля. Подразумевается, что вы (или ваша компания) контролируете, какие приложения получают доступ и что им разрешено. Однако именно через эти разрешения хакеры и проложили себе мост.
Если злоумышленник получает доступ к вашему облачному аккаунту, он может создать и авторизовать внутреннее приложение с "правильными" разрешениями. Такое приложение даст ему возможность читать ваши документы, переписку и, по сути, делать в аккаунте всё, что захочет. При этом стандартные меры защиты — смена пароля или выключение аккаунта — не срабатывают: приложение остаётся активным ещё долгое время (секретные ключи OAuth живут до двух лет).
Proofpoint не просто озвучила теорию: для демонстрации проблемы они создали специальный инструмент, который автоматически делает злонамеренные внутренние приложения в уже скомпрометированной облачной среде. Это сценарий не из фантастики: примеры уже встречаются в живой природе. В одном инциденте специалисты зафиксировали вход с чужого компьютера, а затем попытки повторного входа из Нигерии. Хотя владелец поменял пароль через 4 дня, вредоносное приложение по-прежнему имело полный доступ к аккаунту.
Исследователи подчёркивают: подобные атаки растут по частоте и по сложности. Хакеры используют взломанные облачные аккаунты не только для похищения данных, но и как плацдарм для последующих атак внутри IT-систем компаний.
Суть проблемы: единственный надёжный способ отменить такой доступ — вручную снимать лишние разрешения у приложений в вашем аккаунте и тщательно мониторить список подключённых сервисов. Ревизию этих прав требуется делать регулярно, иначе кто-то чужой может уж слишком уютно устроиться внутри вашего аккаунта — оставаясь невидимым.
PEREC.RU
С одной стороны всё выглядит просто: компания Proofpoint находит новую брешь, пишет об этом предупреждение, создаёт демонстрационный инструмент, чтобы начальники проснулись. С другой — тёплый уют корпоративных облаков снова становится ловушкой для тех, кто привык привязывать все сервисы к одному логину.
Самое интересное — даже фанатики двухфакторки теперь беззащитны. OAuth-авторизация задумывалась для повышения безопасности и удобства, а по факту стала очередной лазейкой для атакующих (ну кто бы мог подумать). Проще говоря, на свете появился очередной способ сохранять контроль над аккаунтом, когда вроде бы все логины и пароли сменили. Приложения, которым вы разрешили доступ вчера, сегодня могут передать ваш рабочий распорядок куда угодно.
Намёк тут прозрачен как облако Google Drive — административная грамотность рядового пользователя равна статистической погрешности. Кто и когда вообще проверяет, какие сервисы разрешили в корпоративном аккаунте? Вот и получают взломанные компании инструкцию: срочно учитесь ревизии прав или любуйтесь африканскими айпи в логах.
IT-директора, конечно, заведут очередную Excel'ку с разрешениями (и забудут обновить). А пока злые OAuth-приложения продолжают жить на правах законных жильцов — без права на выселение. Всё как у Ницше: кто долго смотрит в бездну цифровой безопасности, рискует обнаружить в ящике "доверенных приложений" старого знакомого.
