Фишеры используют дыры OAuth в реализации Microsoft и Google

Фишеры используют дыры OAuth в реализации Microsoft и Google

Фишеры используют дыры OAuth в реализации Microsoft и Google

Исследователи в области кибербезопасности обнаружили ранее неизвестные методы запуска кибератак с URL-редиректами на слабые имплементации OAuth 2.0. Такие атаки могут приводить к обходу средств детектирования фишинга и защиты электронной почты, а также внушать жертвам ложное чувство безопасности при посещении фишинговых страниц.

На проблемы в безопасности указали специалисты компании Proofpoint. По их словам, злоумышленники атакуют Outlook Web Access, PayPal, Microsoft 365 и Google Workspace, используя бреши в имплементации OAuth 2.0.

Кстати, уязвимостям протокола OAuth 2.0 мы посвятили аналитическую статью, в которой эксперт объясняет, опасно ли аутентифицироваться через профиль в соцсетях.

При разработке приложений с поддержкой OAuth девелоперы могут выбрать среди различных типов потоков, в зависимости от своих потребностей. На примере реализации от Microsoft можно посмотреть, как это взаимосвязано:

 

Потоки требуют от разработчика, чтобы тот определил конкретные параметры, среди которых уникальный идентификатор клиента и URL, на который будет перенаправляться пользователь после успешной аутентификации.

Как выяснили эксперты Proofpoint, атакующие могут модифицировать отдельные параметры в валидных потоках аутентификации. В итоге условный злоумышленник может организовать редирект жертвы на вредоносный сайт. Например, этого можно добиться изменением параметра запроса «response_type».

«Этот вектор атаки использует ряд сторонних приложений Microsoft 365 с вредоносными URL-редиректами, определёнными для каждого из таких приложений», — отмечают в отчёте исследователи.

Windows следит через GDID: как уменьшить цифровой хвост в системе

История с Windows-идентификатором GDID показала одну важную вещь: VPN может меняться, IP-адреса могут прыгать по странам, а сама установка Windows всё равно остаётся узнаваемой для Microsoft. GDID — это постоянный идентификатор устройства, который используется в сервисах компании, лицензировании, Microsoft Store и телеметрии.

Напомним, на днях стало известно, что 19-летнего хакера вычислили по идентификатору Windows. Что нужно сделать, чтоб минимизировать эти риски?

Полностью выключить эту функциональность красивой кнопкой нельзя. Но это не значит, что пользователь совсем беспомощен. Есть несколько способов хотя бы урезать объём данных, которые Windows отправляет наружу.

Первое — использовать локальную учётную запись вместо Microsoft Account. Именно вход через аккаунт Microsoft усиливает связку устройства, сервисов, OneDrive, Store и истории активности. Microsoft всё активнее подталкивает пользователей к онлайн-аккаунтам, но локальный профиль всё ещё остаётся более приватным вариантом.

Второе — отключить историю активности. Для этого нужно открыть Настройки → Конфиденциальность и безопасность → История активности и выключить сохранение истории активности. Да, вместе с этим могут пострадать удобные функции вроде синхронизации между устройствами, Phone Link и облачного буфера обмена. Но приватность почти всегда торгуется за удобство.

Третье — убрать лишнюю диагностику. В Windows 11 это находится в Настройки → Конфиденциальность и безопасность → Диагностика и отзывы. Там стоит отключить отправку опциональных данных отзывов. Базовую телеметрию система всё равно оставит, но хотя бы не будет тащить в Microsoft всё, что ей не обязательно знать.

Четвёртое — почистить фоновые сервисы и функции, которыми вы не пользуетесь: Phone Link, Nearby Share, облачную синхронизацию, лишние ИИ-фишки и автозагрузку. Чем меньше связей с экосистемой Microsoft, тем меньше поводов у системы стучаться наружу.

Важный момент: простая переустановка Windows не решает проблему магически. GDID обновится, но если снова войти в тот же Microsoft Account, новую установку можно связать со старой через аккаунт, активацию и историю сервисов.

RSS: Новости на портале Anti-Malware.ru