Фишеры используют дыры OAuth в реализации Microsoft и Google

Фишеры используют дыры OAuth в реализации Microsoft и Google

Фишеры используют дыры OAuth в реализации Microsoft и Google

Исследователи в области кибербезопасности обнаружили ранее неизвестные методы запуска кибератак с URL-редиректами на слабые имплементации OAuth 2.0. Такие атаки могут приводить к обходу средств детектирования фишинга и защиты электронной почты, а также внушать жертвам ложное чувство безопасности при посещении фишинговых страниц.

На проблемы в безопасности указали специалисты компании Proofpoint. По их словам, злоумышленники атакуют Outlook Web Access, PayPal, Microsoft 365 и Google Workspace, используя бреши в имплементации OAuth 2.0.

Кстати, уязвимостям протокола OAuth 2.0 мы посвятили аналитическую статью, в которой эксперт объясняет, опасно ли аутентифицироваться через профиль в соцсетях.

При разработке приложений с поддержкой OAuth девелоперы могут выбрать среди различных типов потоков, в зависимости от своих потребностей. На примере реализации от Microsoft можно посмотреть, как это взаимосвязано:

 

Потоки требуют от разработчика, чтобы тот определил конкретные параметры, среди которых уникальный идентификатор клиента и URL, на который будет перенаправляться пользователь после успешной аутентификации.

Как выяснили эксперты Proofpoint, атакующие могут модифицировать отдельные параметры в валидных потоках аутентификации. В итоге условный злоумышленник может организовать редирект жертвы на вредоносный сайт. Например, этого можно добиться изменением параметра запроса «response_type».

«Этот вектор атаки использует ряд сторонних приложений Microsoft 365 с вредоносными URL-редиректами, определёнными для каждого из таких приложений», — отмечают в отчёте исследователи.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Неизвестные злоумышленники атаковали сеть Семейный доктор

Сеть клиник «Семейный доктор», входящая в структуру холдинга «Альфа Групп», подверглась кибератаке. В результате инцидента была уничтожена база пациентов. Врачи теперь вынуждены вести приём вручную, а восстановить утраченные данные, как сообщается, невозможно.

По информации телеграм-канала «Осторожно, Москва», атака произошла ещё 22 июля. Была полностью удалена база пациентов, хранившаяся в системе на платформе «1С». Кроме того, как сообщил телеграм-канал Shot, в клинике перестали работать групповые системы печати и копирования.

Как отмечает Lenta.Ru, некоторое время также не открывался сайт клиники. Однако по состоянию на 29 июля сайт доступен, но записаться на приём онлайн по-прежнему невозможно, личный кабинет не работает.

На момент публикации ни одна из киберпреступных группировок не взяла на себя ответственность за атаку. Официальных комментариев от клиники также не поступало.

При этом другая организация с похожим названием — сеть поликлиник АО «Семейный доктор» — продолжает работу в обычном режиме и не имеет отношения к произошедшему инциденту.

«Сеть поликлиник АО "Семейный доктор" работает в штатном режиме. Информация о хакерской атаке, распространяемая в ряде СМИ, не имеет отношения к нам. Данные пациентов находятся в безопасности», — заявили в компании в комментарии ТАСС.

 

Ранее кибератаке также подверглась аптечная сеть «Столички». Сначала сбои наблюдались в работе онлайн-сервисов, а позже отказали кассовая и учётная системы. В результате значительная часть аптек в Москве была закрыта.

На днях мы также писали о сбое в работе информационных систем «Аэрофлота». Позже выяснилось, что хактивистская кибергруппировка Silent Crow заявила об ответственности за масштабную атаку на авиакомпанию. При этом «Аэрофлот»мог потерять не менее 250 млн рублей только из-за отмены рейсов. Эта сумма отражает лишь прямые убытки авиакомпании за один день и не учитывает потенциальные затраты на восстановление ИТ-инфраструктуры.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru