Para peneliti telah menemukan serangkaian metode yang sebelumnya tidak diketahui untuk meluncurkan serangan pengalihan URL terhadap implementasi OAuth 2.0 yang lemah.
Serangan-serangan ini dapat mengarah pada pengabaian deteksi phishing dan solusi keamanan email, dan pada saat yang sama, memberikan legitimasi palsu pada URL phishing kepada para korban.
Kampanye yang relevan dideteksi oleh Proofpoint, dan menargetkan Outlook Web Access, PayPal, Microsoft 365, dan Google Workspace.
OAuth 2.0 adalah protokol otorisasi yang diadopsi secara luas yang memungkinkan aplikasi web atau desktop mengakses sumber daya yang dikendalikan oleh pengguna akhir, seperti email, kontak, informasi profil, atau akun sosial mereka.
Saat mengembangkan aplikasi OAuth, pengembang diberi kebebasan untuk memilih di antara berbagai jenis flow yang tersedia, bergantung pada kebutuhan mereka, seperti yang diilustrasikan di bawah ini.
Flow ini mengharuskan pengembang aplikasi untuk menentukan parameter tertentu, seperti ID klien unik, cakupan, dan URL pengalihan dibuka setelah autentikasi berhasil.
Namun, Proofpoint menemukan bahwa penyerang dapat memodifikasi beberapa parameter dalam alur otorisasi yang valid, memicu pengalihan korban ke situs yang disediakan penyerang atau mengarahkan ulang URL di aplikasi OAuth berbahaya yang terdaftar.
Karena ini terjadi setelah korban mengeklik URL yang tampak sah milik Microsoft, korban secara keliru menganggap bahwa URL itu sah, meskipun mereka sedang diarahkan ke situs jahat.
Pengalihan ini dapat dipicu dengan memodifikasi parameter kueri ‘response_type’ agar berisi nilai yang tidak valid, dan korban akan dibawa ke halaman phishing oleh Microsoft setelah autentikasi.
Selengkapnya: Bleeping Computer
