T1671: ІНТЕГРАЦІЯ ХМАРНИХ ДОДАТКІВ (OAUTH)
Зловмисники забезпечують собі постійний доступ до хмарного середовища (Microsoft 365, Google Workspace), створюючи або компрометуючи сторонні додатки через протокол OAuth. Замість крадіжки пароля, зловмисник змушує користувача надати дозволи (scopes) своєму шкідливому додатку. Це дозволяє читати пошту, завантажувати файли або керувати доменом навіть після зміни пароля користувачем або ввімкнення MFA, оскільки доступ здійснюється через токени додатка.
ТЕХНІЧНИЙ ОПИС
Зловмисники можуть домогтися стійкості (Persistence), використовуючи інтеграцію додатків OAuth у середовищі програмного забезпечення як послуги (SaaS). Зловмисники можуть створити кастомний додаток, додати легітимний додаток у середовище або навіть перехопити існуючу інтеграцію для досягнення шкідливих цілей.
OAuth — це відкритий стандарт, який дозволяє користувачам авторизувати додатки для доступу до їхньої інформації від їхнього імені. У середовищі SaaS, такому як Microsoft 365 або Google Workspace, користувачі можуть інтегрувати додатки для покращення робочого процесу та виконання завдань.
Використання інтеграцій додатків може дозволити зловмисникам закріпитися в середовищі — наприклад, шляхом надання згоди (consent) додатку з підконтрольного зловмиснику високопривілейованого облікового запису, щоб зберегти доступ до його даних навіть у разі втрати доступу до самого акаунта. У деяких випадках інтеграції можуть залишатися дійсними навіть після того, як обліковий запис користувача, що надав згоду, буде вимкнено.
Інтеграції додатків також можуть дозволити зловмисникам обходити вимоги багатофакторної автентифікації (MFA) через використання токенів доступу додатків (Application Access Tokens). Нарешті, вони можуть забезпечити тривале автоматизоване викрадення даних (Automated Exfiltration).
Створення або додавання нового додатка може вимагати від зловмисника створення виділеного хмарного облікового запису для додатка та призначення йому додаткових хмарних ролей — наприклад, у середовищах Microsoft 365 додаток може отримати доступ до ресурсів лише через пов’язаний з ним сервісний запис (Service Principal).
Чому це “Persistence” нового покоління?
- Невидимість для паролів: Зміна пароля не відкликає токен OAuth. Зловмисник залишається в системі.
- Обхід MFA: Токени OAuth дозволяють звертатися до API напряму, минаючи інтерактивні вікна входу з перевіркою другого фактора.
- Легітимність: Запити від додатків виглядають як стандартний трафік хмарної платформи.
Як захиститися?
- Обмежте можливість користувачів самостійно надавати дозволи стороннім додаткам (User Consent).
- Регулярно проводьте аудит “Enterprise Applications” у Microsoft Entra ID (Azure AD) або сторонніх додатків у Google Admin Console.
- Налаштуйте оповіщення про появу нових додатків з правами Mail.Read або Files.ReadWrite.All.