Κατάχρηση ADFS και office.com για κλοπή Microsoft 365 credentials
SecNews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Κατάχρηση ADFS και office.com για κλοπή Microsoft 365 credentials
https://www.secnews.gr/656606/kataxrisi-adfs-office-com-microsoft-365/
Aug 21st 2025, 09:49
by Digital Fortress
Μια νέα και εξαιρετικά περίπλοκη εκστρατεία phishing βρίσκεται σε εξέλιξη, εκμεταλλευόμενη το Active Directory Federation Services (ADFS) της Microsoft, για να ανακατευθύνει τους χρήστες από νόμιμους συνδέσμους του office.com σε κακόβουλες σελίδες σύνδεσης και να κλέψει Microsoft 365 credentials.
Η τεχνική, που εντοπίστηκε από ερευνητές της εταιρείας κυβερνοασφάλειας Push Security, σηματοδοτεί μια σημαντική εξέλιξη στις επιθέσεις phishing, παρακάμπτοντας αποτελεσματικά τόσο την επαγρύπνηση των χρηστών όσο και τα παραδοσιακά φίλτρα ασφαλείας.
Η επίθεση αξιοποιεί έναν συνδυασμό malvertising και έξυπνης κατάχρησης της υποδομής της ίδιας της Microsoft. Αντί να βασίζονται σε ύποπτα emails, οι επιτιθέμενοι τοποθετούν κακόβουλες διαφημίσεις στις μηχανές αναζήτησης. Ένας χρήστης που αναζητά "Office 365" μπορεί να κάνει κλικ σε μια φαινομενικά νόμιμη διαφήμιση, που τον κατευθύνει σε ένα γνήσιο URL outlook.office.com. Ωστόσο, αυτό το URL είναι ειδικά διαμορφωμένο για να ενεργοποιήσει μια εκμετάλλευση.
Δείτε επίσης: Κατάχρηση Generative AI πλατφορμών για Phishing εκστρατείες
Στην καρδιά του σχεδίου βρίσκεται η κατάχρηση του ADFS, μια λειτουργία της Microsoft που διευκολύνει το single sign-on (SSO) συνδέοντας τον τοπικό κατάλογο ενός οργανισμού με τις υπηρεσίες cloud.
Κλοπή Microsoft 365 credentials
Οι επιτιθέμενοι δημιούργησαν τον δικό τους Microsoft tenant και διαμόρφωσαν τις ρυθμίσεις ADFS για να ανακατευθύνουν τα αιτήματα ελέγχου ταυτότητας σε ένα phishing domain που ελέγχουν οι ίδιοι. Αυτό αναγκάζει τους ίδιους τους διακομιστές της Microsoft να στείλουν το ανυποψίαστο θύμα από το αξιόπιστο domain office.com σε ένα ρεαλιστικό αντίγραφο της σελίδας σύνδεσης της Microsoft.
"Αυτό είναι ουσιαστικά ισοδύναμο με το να έχει το Outlook.com μια ευπάθεια ανοικτής ανακατεύθυνσης", σημείωσε ένας ερευνητής από την Push.
Αυτό το "ADFSjacking", όπως έχει ονομαστεί, είναι ισχυρό επειδή η αρχική ανακατεύθυνση προέρχεται από μια αξιόπιστη πηγή της Microsoft. Ως αποτέλεσμα, τα εργαλεία ασφαλείας που βασίζονται σε URL δυσκολεύονται να ανιχνεύσουν την απειλή. Ακόμα και οι πολύ προσεκτικοί χρήστες μπορεί να πέσουν στην παγίδα.
Δείτε επίσης: Phishing: Διανομή Noodlophile malware με νέα "δολώματα"
Η έρευνα αποκάλυψε μια πολυεπίπεδη αλυσίδα ανακατεύθυνσης σχεδιασμένη για αποφυγή του εντοπισμού της κακόβουλης δραστηριότητας. Μετά το κλικ στη κακόβουλη διαφήμιση, ο περιηγητής του χρήστη περνάει αόρατα μέσω ενός ενδιάμεσου domain (π.χ. ενός ψεύτικου ταξιδιωτικού ιστολογίου), πριν καταλήξει στην τελική phishing σελίδα.
Αυτό το ενδιάμεσο βήμα είναι σχεδιασμένο να ξεγελά τα αυτοματοποιημένα εργαλεία κατηγοριοποίησης domain, τα οποία μπορεί να ταξινομήσουν τον σύνδεσμο ως αβλαβή, επιτρέποντάς του να περάσει από τα φίλτρα ιστού.
Μόλις βρεθεί στη ψεύτικη σελίδα σύνδεσης, η οποία λειτουργεί ως Attacker-in-the-Middle (AitM) proxy, τα Microsoft 365 credentials που εισάγονται, καταγράφονται αμέσως. Αυτή η μέθοδος επιτρέπει επίσης στους επιτιθέμενους να κλέψουν session cookies, επιτρέποντάς τους να παρακάμψουν τις προστασίες ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA) και να αποκτήσουν πλήρη πρόσβαση στον λογαριασμό του θύματος.
Αυτή η εκστρατεία υπογραμμίζει μια ανησυχητική τάση όπου οι επιτιθέμενοι εγκαταλείπουν τα παραδοσιακά phishing email και στρέφονται στο malvertising, τα κοινωνικά μέσα και την άμεση ανταλλαγή μηνυμάτων, παρακάμπτοντας έτσι τις ισχυρές πύλες ασφαλείας email.
Για την αντιμετώπιση αυτής της απειλής, οι ειδικοί ασφαλείας συνιστούν στους οργανισμούς να παρακολουθούν τα αρχεία καταγραφής του δικτύου τους για ασυνήθιστες ανακατευθύνσεις ADFS, ιδιαίτερα εκείνες που οδηγούν σε άγνωστα domains.
Δείτε επίσης: Βρετανός φοιτητής καταδικάστηκε για πώληση phishing kits
Το φιλτράρισμα των Google Ad parameters στο traffic που κατευθύνεται στο office.com μπορεί επίσης να βοηθήσει στον εντοπισμό αυτής της συγκεκριμένης τεχνικής κακόβουλης διαφήμισης. Για τους τελικούς χρήστες, η εφαρμογή ενός αξιόπιστου blocker διαφημίσεων σε όλους τους περιηγητές ιστού παραμένει μια κρίσιμη άμυνα.
Για τους οργανισμούς που βασίζονται σε cloud υπηρεσίες της Microsoft, η συγκεκριμένη απειλή θα μπορούσε να έχει τεράστιο κόστος – από απώλεια εταιρικών δεδομένων και παραβιάσεις GDPR μέχρι σοβαρή ζημιά στη φήμη. Για αυτό, πέρα από τα τεχνικά μέτρα, η εκπαίδευση των χρηστών παραμένει κρίσιμη. Πρέπει να γνωρίζουν ότι ακόμα και «επίσημοι» σύνδεσμοι μπορούν να είναι παραποιημένοι και ότι οι διαφημίσεις δεν είναι τόσο αθώες όσο φαίνονται.
Συνολικά, η νέα επίθεση «ADFSjacking» λειτουργεί σαν καμπανάκι κινδύνου: όσο πιο εξελιγμένες γίνονται οι τεχνικές phishing, τόσο πιο απαραίτητη είναι η μετάβαση από την κλασική άμυνα σε πολυεπίπεδη στρατηγική κυβερνοασφάλειας.
© SecNews.gr - Κατάχρηση ADFS και office.com για κλοπή Microsoft 365 credentials
You are receiving this email because you subscribed to this feed at https://blogtrottr.com?lctg=1169672
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz?lctg=1169672
IT Security News, Gadgets, Tweaks for Geeks and More
Κατάχρηση ADFS και office.com για κλοπή Microsoft 365 credentials
https://www.secnews.gr/656606/kataxrisi-adfs-office-com-microsoft-365/
Aug 21st 2025, 09:49
by Digital Fortress
Μια νέα και εξαιρετικά περίπλοκη εκστρατεία phishing βρίσκεται σε εξέλιξη, εκμεταλλευόμενη το Active Directory Federation Services (ADFS) της Microsoft, για να ανακατευθύνει τους χρήστες από νόμιμους συνδέσμους του office.com σε κακόβουλες σελίδες σύνδεσης και να κλέψει Microsoft 365 credentials.
Η τεχνική, που εντοπίστηκε από ερευνητές της εταιρείας κυβερνοασφάλειας Push Security, σηματοδοτεί μια σημαντική εξέλιξη στις επιθέσεις phishing, παρακάμπτοντας αποτελεσματικά τόσο την επαγρύπνηση των χρηστών όσο και τα παραδοσιακά φίλτρα ασφαλείας.
Η επίθεση αξιοποιεί έναν συνδυασμό malvertising και έξυπνης κατάχρησης της υποδομής της ίδιας της Microsoft. Αντί να βασίζονται σε ύποπτα emails, οι επιτιθέμενοι τοποθετούν κακόβουλες διαφημίσεις στις μηχανές αναζήτησης. Ένας χρήστης που αναζητά "Office 365" μπορεί να κάνει κλικ σε μια φαινομενικά νόμιμη διαφήμιση, που τον κατευθύνει σε ένα γνήσιο URL outlook.office.com. Ωστόσο, αυτό το URL είναι ειδικά διαμορφωμένο για να ενεργοποιήσει μια εκμετάλλευση.
Δείτε επίσης: Κατάχρηση Generative AI πλατφορμών για Phishing εκστρατείες
Στην καρδιά του σχεδίου βρίσκεται η κατάχρηση του ADFS, μια λειτουργία της Microsoft που διευκολύνει το single sign-on (SSO) συνδέοντας τον τοπικό κατάλογο ενός οργανισμού με τις υπηρεσίες cloud.
Κλοπή Microsoft 365 credentials
Οι επιτιθέμενοι δημιούργησαν τον δικό τους Microsoft tenant και διαμόρφωσαν τις ρυθμίσεις ADFS για να ανακατευθύνουν τα αιτήματα ελέγχου ταυτότητας σε ένα phishing domain που ελέγχουν οι ίδιοι. Αυτό αναγκάζει τους ίδιους τους διακομιστές της Microsoft να στείλουν το ανυποψίαστο θύμα από το αξιόπιστο domain office.com σε ένα ρεαλιστικό αντίγραφο της σελίδας σύνδεσης της Microsoft.
"Αυτό είναι ουσιαστικά ισοδύναμο με το να έχει το Outlook.com μια ευπάθεια ανοικτής ανακατεύθυνσης", σημείωσε ένας ερευνητής από την Push.
Αυτό το "ADFSjacking", όπως έχει ονομαστεί, είναι ισχυρό επειδή η αρχική ανακατεύθυνση προέρχεται από μια αξιόπιστη πηγή της Microsoft. Ως αποτέλεσμα, τα εργαλεία ασφαλείας που βασίζονται σε URL δυσκολεύονται να ανιχνεύσουν την απειλή. Ακόμα και οι πολύ προσεκτικοί χρήστες μπορεί να πέσουν στην παγίδα.
Δείτε επίσης: Phishing: Διανομή Noodlophile malware με νέα "δολώματα"
Η έρευνα αποκάλυψε μια πολυεπίπεδη αλυσίδα ανακατεύθυνσης σχεδιασμένη για αποφυγή του εντοπισμού της κακόβουλης δραστηριότητας. Μετά το κλικ στη κακόβουλη διαφήμιση, ο περιηγητής του χρήστη περνάει αόρατα μέσω ενός ενδιάμεσου domain (π.χ. ενός ψεύτικου ταξιδιωτικού ιστολογίου), πριν καταλήξει στην τελική phishing σελίδα.
Αυτό το ενδιάμεσο βήμα είναι σχεδιασμένο να ξεγελά τα αυτοματοποιημένα εργαλεία κατηγοριοποίησης domain, τα οποία μπορεί να ταξινομήσουν τον σύνδεσμο ως αβλαβή, επιτρέποντάς του να περάσει από τα φίλτρα ιστού.
Μόλις βρεθεί στη ψεύτικη σελίδα σύνδεσης, η οποία λειτουργεί ως Attacker-in-the-Middle (AitM) proxy, τα Microsoft 365 credentials που εισάγονται, καταγράφονται αμέσως. Αυτή η μέθοδος επιτρέπει επίσης στους επιτιθέμενους να κλέψουν session cookies, επιτρέποντάς τους να παρακάμψουν τις προστασίες ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA) και να αποκτήσουν πλήρη πρόσβαση στον λογαριασμό του θύματος.
Αυτή η εκστρατεία υπογραμμίζει μια ανησυχητική τάση όπου οι επιτιθέμενοι εγκαταλείπουν τα παραδοσιακά phishing email και στρέφονται στο malvertising, τα κοινωνικά μέσα και την άμεση ανταλλαγή μηνυμάτων, παρακάμπτοντας έτσι τις ισχυρές πύλες ασφαλείας email.
Για την αντιμετώπιση αυτής της απειλής, οι ειδικοί ασφαλείας συνιστούν στους οργανισμούς να παρακολουθούν τα αρχεία καταγραφής του δικτύου τους για ασυνήθιστες ανακατευθύνσεις ADFS, ιδιαίτερα εκείνες που οδηγούν σε άγνωστα domains.
Δείτε επίσης: Βρετανός φοιτητής καταδικάστηκε για πώληση phishing kits
Το φιλτράρισμα των Google Ad parameters στο traffic που κατευθύνεται στο office.com μπορεί επίσης να βοηθήσει στον εντοπισμό αυτής της συγκεκριμένης τεχνικής κακόβουλης διαφήμισης. Για τους τελικούς χρήστες, η εφαρμογή ενός αξιόπιστου blocker διαφημίσεων σε όλους τους περιηγητές ιστού παραμένει μια κρίσιμη άμυνα.
Για τους οργανισμούς που βασίζονται σε cloud υπηρεσίες της Microsoft, η συγκεκριμένη απειλή θα μπορούσε να έχει τεράστιο κόστος – από απώλεια εταιρικών δεδομένων και παραβιάσεις GDPR μέχρι σοβαρή ζημιά στη φήμη. Για αυτό, πέρα από τα τεχνικά μέτρα, η εκπαίδευση των χρηστών παραμένει κρίσιμη. Πρέπει να γνωρίζουν ότι ακόμα και «επίσημοι» σύνδεσμοι μπορούν να είναι παραποιημένοι και ότι οι διαφημίσεις δεν είναι τόσο αθώες όσο φαίνονται.
Συνολικά, η νέα επίθεση «ADFSjacking» λειτουργεί σαν καμπανάκι κινδύνου: όσο πιο εξελιγμένες γίνονται οι τεχνικές phishing, τόσο πιο απαραίτητη είναι η μετάβαση από την κλασική άμυνα σε πολυεπίπεδη στρατηγική κυβερνοασφάλειας.
© SecNews.gr - Κατάχρηση ADFS και office.com για κλοπή Microsoft 365 credentials
You are receiving this email because you subscribed to this feed at https://blogtrottr.com?lctg=1169672
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz?lctg=1169672