Editor Top
Cómo funciona el ataque
El ataque comienza con un correo electrónico de phishing, con señuelos observados que se hacen pasar por solicitudes de firma electrónica, comunicaciones de recursos humanos, invitaciones a reuniones de Microsoft Teams y alertas de restablecimiento de contraseña, los enlaces maliciosos incrustados en el cuerpo del correo electrónico o dentro de un archivo adjunto PDF, escribieron investigadores de Microsoft en la publicación del blog.
El enlace apunta a un punto final de autorización OAuth real, pero está creado con parámetros deliberadamente rotos. Los atacantes utilizan un valor “prompt=none”, solicitando una autenticación silenciosa sin pantalla de inicio de sesión, y lo vinculan con un valor de alcance no válido. La combinación está diseñada para fracasar. Cuando lo hace, el proveedor de identidad redirige el navegador del usuario a una URI registrada por el atacante.
«Aunque este comportamiento cumple con los estándares, los adversarios pueden abusar de él para redirigir a los usuarios a través de puntos finales de autorización confiables a destinos controlados por los atacantes», escribieron los investigadores en la publicación del blog.
