Como funciona o ataque
O ataque começa com um e-mail de phishing, com iscas observadas representando solicitações de assinatura eletrônica, comunicações de RH, convites para reuniões do Microsoft Teams e alertas de redefinição de senha, os links maliciosos incorporados no corpo do e-mail ou dentro de um anexo em PDF, escreveram pesquisadores da Microsoft na postagem do blog.
O link aponta para um endpoint de autorização OAuth real, mas é construído com parâmetros deliberadamente quebrados. Os invasores usam um valor “prompt=none”, solicitando uma autenticação silenciosa sem tela de login, e associam-no a um valor de escopo inválido. A combinação foi projetada para falhar. Quando isso acontece, o provedor de identidade redireciona o navegador do usuário para um URI registrado pelo invasor.
“Embora esse comportamento seja compatível com os padrões, os adversários podem abusar dele para redirecionar usuários por meio de terminais de autorização confiáveis para destinos controlados pelo invasor”, escreveram os pesquisadores na postagem do blog.
Fonte: Computer World
