Sintesi

Questo CSIRT ha recentemente rilevato una campagna di phishing veicolata tramite e-mail indirizzate a caselle di posta elettronica aziendali di organizzazioni situate sul territorio nazionale. L’attacco sfrutta il protocollo di autorizzazione OAuth 2.0 e non mira alla sottrazione delle credenziali, bensì all’ottenimento di Access Token permanenti. Questo permette all’attaccante di accedere ai dati Microsoft 365 dell’utente (email, file, contatti) bypassando l’autenticazione a più fattori (MFA).

Descrizione e potenziali impatti

Questo CSIRT ha recentemente rilevato una campagna di phishing veicolata tramite e-mail indirizzate a caselle di posta elettronica aziendali di organizzazioni situate sul territorio nazionale. L’attacco sfrutta il protocollo di autorizzazione OAuth 2.0 e non mira alla sottrazione delle credenziali utente, bensì all’ottenimento di un Access Token permanente. Questo permette all’attaccante di accedere ai dati Microsoft 365 dell’utente (email, file, contatti) bypassando l’autenticazione a più fattori (MFA).

Le analisi preliminari hanno evidenziato la compromissione di account di posta elettronica aziendali tramite l’invio di una e-mail di phishing, contenente un link per accedere ad un documento condiviso in cloud (Figura 1).

Figura 1 – Contenuto e-mail di phishing

L’e-mail, dal contenuto principalmente testuale, fa riferimento ad un documento, il quale a seconda dei casi, puo’ assumere la forma di report, preventivo, etc..

Il link nel corpo della testo reindirizza l’utente verso un documento condiviso tramite la piattaforma lecita Google Docs (sites.google.com), la cui grafica riproduce un documento apparentemente legittimo, inducendo l’utente a ritenere necessario l’accesso per visualizzarne il contenuto (Figura 2).

Figura 2 – Landing page del link contenuto nella e-mail di phishing

L’interazione con l’elemento cliccabile reindirizza l’utente a una pagina di phishing che simula l’interfaccia di autenticazione di Microsoft 365/Outlook Web, con l’obiettivo di indurre la vittima ad eseguire il login (Figura 3).

Figura 3 – Pagina di autenticazione Microsoft 365

La tecnica prevede l’intercettazione diretta delle credenziali e dei token di sessione (Access e Refresh token). Tale metodo neutralizza l’efficacia dell’autenticazione a più fattori (MFA), poiché l’attaccante non sottrae la password, ma il risultato di un’autenticazione già avvenuta con successo.

L’attacco viene celato all’utente tramite la notifica di un falso errore tecnico, minimizzando il rischio di una segnalazione immediata.

Ottenuto l’accesso all’account Microsoft 365, gli attaccanti possono:

• accedere alla casella di posta elettronica, creare regole ed inoltrare ulteriori e-mail di phishing tramite l’account compromesso verso i suoi contatti interni o esterni ( Lateral Phishing);
• accedere a documentazione aziendale al fine di esfiltrarne i contenuti.

L’analisi della campagna ha evidenziato che gli attori malevoli, sfruttando le API esposte da Microsoft Graph tramite token OAuth 2.0 validi ottenuti post-compromissione, sono in grado di eseguire rapidamente operazioni automatizzate di raccolta dati, modifica di configurazioni e invio di comunicazioni malevole, senza la necessità di interagire direttamente con le interfacce utente o i singoli sistemi aziendali.

In presenza di token validi, l’attaccante può mantenere sessioni attive anche dopo la modifica della password, qualora non venga effettuata la revoca delle sessioni.

Azioni di mitigazione

Gli utenti e le organizzazioni possono far fronte a questa tipologia di attacchi verificando scrupolosamente le e-mail ricevute e attivando le seguenti misure aggiuntive:

• fornire periodiche sessioni di formazione finalizzate a riconoscere il phishing diffidando da comunicazioni inattese;
• non accedere a collegamenti internet o a relativi contenuti esterni se non si è certi dell’affidabilità della risorsa;
• accertarsi della legittimità dei siti che richiedono l’inserimento dei propri dati d’accesso;
• implementare e rendere mandatori meccanismi di autenticazione forte (Multi-Factor Authentication) a presidio di tutti gli account, al fine di mitigare il rischio derivante dalla compromissione delle sole password;
• effettuare una puntuale verifica delle configurazioni delle caselle di posta, con specifico riferimento all’identificazione e alla rimozione di regole di inoltro automatico o di archiviazione non esplicitamente autorizzate dall’utente;
• adottare procedure di verifica “fuori banda” (es. contatto telefonico diretto su numerazioni preesistenti) qualora la comunicazione appaia provenire da interlocutori fiduciari.

Nel caso di compromissione, provvedere, per le utenze coinvolte o sospette, alla:

• revoca delle sessioni attive e dei token validi (Refresh ed Access token);
• rimozione di eventuali meccanismi di persistenza (OAuth app, forwarding, etc.);
• rotazione delle credenziali utente, garantendo l’adozione di criteri di complessità adeguati in linea con le policy di sicurezza vigenti;
• re-enrollment del MFA.