Security

Phishing Entra ID: nadużywanie przekierowań OAuth

3 min czytania

Podsumowanie

Microsoft ujawnił kampanię phishingową, w której atakujący nadużywają legalnych przekierowań OAuth w Microsoft Entra ID, aby z zaufanej strony logowania kierować użytkowników na infrastrukturę przestępców. To ważne, ponieważ atak wygląda jak normalny proces uwierzytelniania, może omijać część zabezpieczeń i był obserwowany szczególnie wobec organizacji rządowych oraz sektora publicznego.

Potrzebujesz pomocy z Security?Porozmawiaj z ekspertem

Wprowadzenie: dlaczego to ma znaczenie

Linki OAuth do znanych dostawców tożsamości (IdP), takich jak Microsoft Entra ID, są często uznawane przez użytkowników za zaufane, a w niektórych przypadkach są traktowane bardziej liberalnie przez mechanizmy bezpieczeństwa. Najnowsze badania Microsoft pokazują, że zachowanie przekierowań OAuth działające „zgodnie z projektem” jest nadużywane do wysyłania użytkowników z legalnych domen logowania do infrastruktury atakujących — co umożliwia phishing i dostarczanie malware, a jednocześnie wygląda jak normalny proces logowania.

Jest to szczególnie istotne dla administratorów IT w organizacjach rządowych i sektora publicznego, które były konkretnie celem zaobserwowanej aktywności.

Co nowego / kluczowe ustalenia

Microsoft Defender Security Research Team zaobserwował phishingowe wykorzystanie mechanizmów przekierowań OAuth w sygnałach związanych z pocztą e-mail, tożsamością i endpointami:

  • Nadużywanie cichych przepływów OAuth: Atakujący tworzą adresy URL autoryzacji OAuth z użyciem parametrów takich jak prompt=none, aby podjąć próbę cichego sprawdzenia uwierzytelnienia (bez interfejsu użytkownika).
  • Celowo nieprawidłowe zakresy wymuszające ścieżkę błędu: Żądania zawierają scope=<invalid_scope> (lub inne wyzwalacze błędu), aby niezawodnie wygenerować błąd OAuth.
  • Przekierowanie sterowane błędem do URI kontrolowanego przez atakującego: Gdy IdP zwraca błąd (na przykład interaction_required), przeglądarka jest przekierowywana do zarejestrowanego redirect URI aplikacji, które atakujący konfiguruje tak, aby wskazywało na strony phishingowe lub witryny pobierania malware.
  • Do przekierowania nie jest wymagana kradzież tokenu: Atakujący niekoniecznie próbują pomyślnie zakończyć OAuth; głównym celem jest samo przekierowanie.
  • Nadużywanie parametru state do personalizacji: Parametr state — przeznaczony do korelacji żądania i odpowiedzi — został wykorzystany ponownie do przekazywania adresu e-mail ofiary (w postaci jawnego tekstu, hex, Base64 lub niestandardowego kodowania), aby strony phishingowe mogły automatycznie uzupełniać identyfikatory.
  • Wzorce dostarczania kampanii: Przynęty phishingowe obejmowały prośby o e-podpis, motywy finansowe i związane z ubezpieczeniem społecznym, udostępnianie dokumentów, treści związane z Teams/spotkaniami oraz monity resetowania hasła. Część z nich wykorzystywała załączniki PDF z osadzonymi linkami, a nawet zaproszenia kalendarzowe .ics.
  • Narzędzia wykorzystywane dalej w łańcuchu ataku: Strony po przekierowaniu często używały frameworków phishingowych takich jak EvilProxy (attacker-in-the-middle), zaprojektowanych do przechwytywania poświadczeń i plików cookie sesji, czasami z dodatkowymi krokami CAPTCHA/interstitial.

Wpływ na administratorów IT i użytkowników końcowych

  • Wyższe ryzyko kliknięcia: Linki zaczynają się w zaufanych domenach IdP (na przykład login.microsoftonline.com), co zwiększa zaufanie użytkowników.
  • Presja na obchodzenie zabezpieczeń: Tradycyjne kontrole reputacji URL mogą skupiać się na domenie początkowej i nie wychwycić docelowego miejsca przekierowania.
  • Potrzeba widoczności na wielu warstwach: Microsoft wskazuje, że Defender skorelował sygnały z obszarów email, identity, and endpoint, podkreślając, że wykrywanie oparte na pojedynczej kontroli może być niewystarczające.
  • Trwające zagrożenie: Microsoft Entra wyłączył zaobserwowane złośliwe aplikacje OAuth, ale powiązana aktywność nadal trwa — monitoring jest wciąż wymagany.

Działania / kolejne kroki

  1. Wyszukuj podejrzane wzorce OAuth authorize w logach i telemetrii proxy, w szczególności:
    • prompt=none połączone z nietypowymi/nieprawidłowymi wartościami scope
    • Częste błędy OAuth, po których następują przekierowania do domen spoza organizacji
    • Użycie /common/ w nieoczekiwanych kontekstach phishingowych o dużym wolumenie
  2. Przejrzyj i ogranicz zgody aplikacji oraz rejestracje aplikacji:
    • Przeprowadź audyt nowo utworzonych aplikacji i redirect URI pod kątem niezaufanych domen
    • Zaostrz zasady określające, kto może rejestrować aplikacje / modyfikować redirect URI w Entra ID
  3. Wzmocnij ochronę przed phishingiem poza kontrolami „zaufanej domeny”:
    • Upewnij się, że narzędzia do detonacji URL / safe links śledzą przekierowania
    • Uświadamiaj użytkownikom, że „zaczyna się od logowania Microsoft” nie gwarantuje bezpieczeństwa
  4. Zweryfikuj Conditional Access i mechanizmy kontroli sesji:
    • Monitoruj telemetrię logowań i błędów OAuth pod kątem anomalii oraz ukierunkowanych grup użytkowników
  5. Wykorzystaj korelację w Defender:
    • Korzystaj z Microsoft Defender for Office 365 + Defender for Identity/Endpoint do korelowania przynęty e-mail, zachowania podczas logowania i aktywności ładunku na endpointach.

Potrzebujesz pomocy z Security?

Nasi eksperci pomogą Ci wdrożyć i zoptymalizować rozwiązania Microsoft.

Porozmawiaj z ekspertem

Bądź na bieżąco z technologiami Microsoft

Przeczytaj oryginalny artykuł autorstwa Microsoft Defender Security Research Team
OAuthMicrosoft Entra IDphishingMicrosoft Defenderidentity security

Powiązane artykuły

Security

Kompromitacja łańcucha dostaw Trivy: wskazówki Defender

Microsoft opublikował wskazówki dotyczące wykrywania, badania i ograniczania skutków kompromitacji łańcucha dostaw Trivy z marca 2026 r., która dotknęła binarkę Trivy i powiązane GitHub Actions. Incydent jest istotny, ponieważ wykorzystał zaufane narzędzia bezpieczeństwa CI/CD do kradzieży poświadczeń z potoków buildów, środowisk chmurowych i systemów deweloperskich, jednocześnie pozornie działając normalnie.

Security

Governance AI agentów: zgodność intencji i bezpieczeństwo

Microsoft przedstawia model governance dla AI agents, który łączy intencje użytkownika, dewelopera, role-based oraz organizacji. Framework pomaga firmom utrzymać agentów jako użytecznych, bezpiecznych i zgodnych z wymaganiami, definiując granice zachowań oraz jasną hierarchię priorytetów w razie konfliktów.

Security

{{Microsoft Defender predictive shielding blokuje GPO ransomware}}

{{Microsoft opisał rzeczywisty przypadek ransomware, w którym predictive shielding w Defender wykrył złośliwe nadużycie Group Policy Object jeszcze przed rozpoczęciem szyfrowania. Dzięki wzmocnieniu propagacji GPO i zakłóceniu działania przejętych kont Defender zablokował około 97% prób szyfrowania i nie dopuścił do zaszyfrowania żadnych urządzeń przez ścieżkę dostarczania opartą na GPO.}}

Security

Zabezpieczenia agentic AI od Microsoft na RSAC 2026

Microsoft na RSAC 2026 zaprezentował strategię zabezpieczania agentic AI w firmach, obejmującą ochronę agentów, tożsamości, danych i infrastruktury, a także potwierdził premierę Agent 365 w modelu general availability od 1 maja. To ważne, bo wraz z rosnącym wdrożeniem AI w przedsiębiorstwach organizacje potrzebują narzędzi do centralnego zarządzania ryzykiem, wykrywania nieautoryzowanego użycia AI i ograniczania nadmiernego udostępniania danych.

Security

CTI-REALM open source: benchmark AI do detekcji

Microsoft udostępnił open source benchmark CTI-REALM, który sprawdza, czy agenci AI potrafią wykonywać realną pracę z obszaru inżynierii detekcji — od analizy raportów threat intelligence po tworzenie i walidację reguł detekcji. To ważne dla zespołów SOC i bezpieczeństwa, ponieważ zamiast mierzyć wyłącznie wiedzę modelu, narzędzie ocenia jego skuteczność w praktycznych zadaniach operacyjnych w środowiskach takich jak Linux, AKS i chmura Azure.

Security

Zero Trust for AI od Microsoft: warsztaty i ocena

Microsoft wprowadza wytyczne Zero Trust for AI, które przenoszą zasady Zero Trust na modele, agentów, dane i zautomatyzowane decyzje, aby pomóc firmom bezpiecznie wdrażać AI. Firma rozszerzyła też Zero Trust Workshop o dedykowany filar AI oraz rozbudowane oceny i kontrolki, co ma ułatwić zespołom IT i bezpieczeństwa identyfikację ryzyk takich jak prompt injection czy data poisoning oraz lepsze planowanie zabezpieczeń.