-
14/01/2021
-
19
-
85 bài viết
Chức năng open redirect bị lợi dụng để lấy cắp thông tin đăng nhập Microsoft 365
Open redirect là điểm yếu của web app cho phép sử dụng các domain tin cậy của tổ chức và trang web làm trang đích tạm thời để đơn giản hóa các cuộc tấn công phishing.
Chúng được sử dụng để chuyển hướng người dùng đến các trang web của kẻ tấn công nhằm lây nhiễm phần mềm độc hại hoặc đánh cắp thông tin nhạy cảm như: OTP, thông tin tài chính, thông tin cá nhân,...
Công ty an ninh mạng Inky cho biết vì tên miền trong liên kết bị khai thác là các tên miền đáng tin cậy (American Express, Snapchat,..) nên liên kết nhìn có vẻ an toàn, nhưng nó chỉ là một trang web tạm thời trước khi người dùng bị chuyển hướng đến trang web độc hại.
Những email này đã mạo danh Microsoft, DocuSign và FedEx và chuyển hướng người nhận đến các trang đích được thiết kế để thu thập thông tin đăng nhập của Microsoft.
Mặc dù lỗ hổng đã được báo cáo cho Snapchat thông qua nền tảng Open Bug Bounty một năm trước (ngày 4 tháng 8 năm 2021), tuy nhiên nó vẫn chưa được vá.
Mặt khác, open redirect của American Express đã nhanh chóng được giải quyết sau khi bị khai thác vào cuối tháng 7. Hiện tại nếu cố gắng khai thác lỗi này thì sẽ xuất hiện trên một trang báo lỗi của American Express.
Trước khi được giải quyết, open redirect Amex đã được sử dụng trong 2.029 email lừa đảo bằng Microsoft Office 365, được gửi từ các miền đã đăng ký gần đây và được thiết kế để đưa các mục tiêu đến các trang web thu thập thông tin xác thực của Microsoft.
“Trong cả khai thác Snapchat và American Express, tin tặc đã chèn thông tin nhận dạng cá nhân (PII) vào URL để các trang đích độc hại có thể được tùy chỉnh nhanh chóng cho từng nạn nhân. Phần chèn này đã được ngụy trang bằng cách chuyển đổi thành Base 64 để sinh ra một loạt các ký tự ngẫu nhiên."
Để tránh khỏi các cuộc tấn công tương tự, người nhận email nên kiểm tra chuỗi "url=," "redirect=," "external-link," hay "proxy" hoặc nhiều lần xuất hiện của "HTTP" trong các URL được nhúng trong email có khả năng hiển thị dấu hiệu chuyển hướng.
Chúng được sử dụng để chuyển hướng người dùng đến các trang web của kẻ tấn công nhằm lây nhiễm phần mềm độc hại hoặc đánh cắp thông tin nhạy cảm như: OTP, thông tin tài chính, thông tin cá nhân,...
Công ty an ninh mạng Inky cho biết vì tên miền trong liên kết bị khai thác là các tên miền đáng tin cậy (American Express, Snapchat,..) nên liên kết nhìn có vẻ an toàn, nhưng nó chỉ là một trang web tạm thời trước khi người dùng bị chuyển hướng đến trang web độc hại.
Khai thác nhắm mục tiêu hàng nghìn nạn nhân
Theo các nhà nghiên cứu của Inky, open redirect Snapchat đã được sử dụng trong 6.812 email lừa đảo được gửi từ Google Workspace và Microsoft 365Những email này đã mạo danh Microsoft, DocuSign và FedEx và chuyển hướng người nhận đến các trang đích được thiết kế để thu thập thông tin đăng nhập của Microsoft.
Mặc dù lỗ hổng đã được báo cáo cho Snapchat thông qua nền tảng Open Bug Bounty một năm trước (ngày 4 tháng 8 năm 2021), tuy nhiên nó vẫn chưa được vá.
Mặt khác, open redirect của American Express đã nhanh chóng được giải quyết sau khi bị khai thác vào cuối tháng 7. Hiện tại nếu cố gắng khai thác lỗi này thì sẽ xuất hiện trên một trang báo lỗi của American Express.
Trước khi được giải quyết, open redirect Amex đã được sử dụng trong 2.029 email lừa đảo bằng Microsoft Office 365, được gửi từ các miền đã đăng ký gần đây và được thiết kế để đưa các mục tiêu đến các trang web thu thập thông tin xác thực của Microsoft.
“Trong cả khai thác Snapchat và American Express, tin tặc đã chèn thông tin nhận dạng cá nhân (PII) vào URL để các trang đích độc hại có thể được tùy chỉnh nhanh chóng cho từng nạn nhân. Phần chèn này đã được ngụy trang bằng cách chuyển đổi thành Base 64 để sinh ra một loạt các ký tự ngẫu nhiên."
Để tránh khỏi các cuộc tấn công tương tự, người nhận email nên kiểm tra chuỗi "url=," "redirect=," "external-link," hay "proxy" hoặc nhiều lần xuất hiện của "HTTP" trong các URL được nhúng trong email có khả năng hiển thị dấu hiệu chuyển hướng.
Chỉnh sửa lần cuối bởi người điều hành: