Security

Entra ID OAuth preusmeravanje za phishing i malver

3 min čitanja

Sažetak

Microsoft je upozorio na zloupotrebu OAuth preusmeravanja u Entra ID-u, gde napadači koriste legitimne login tokove, tihu autentifikaciju i namerno izazvane greške da bi korisnike sa Microsoft domena preusmerili na phishing stranice ili malver infrastrukturu. Ovo je važno jer napad izgleda kao normalan sign-in proces, lakše zaobilazi poverenje korisnika i pojedine bezbednosne kontrole, a posebno pogađa IT administratore i organizacije u javnom sektoru.

Audio sažetak

0:00--:--
Trebate pomoć sa Security?Razgovarajte sa stručnjakom

Uvod: zašto je ovo važno

OAuth linkovi ka poznatim identity provider-ima (IdP) kao što je Microsoft Entra ID korisnicima često ulivaju poverenje i, u nekim slučajevima, bezbednosne kontrole prema njima imaju blaži tretman. Najnovije Microsoft istraživanje ističe „by design“ OAuth ponašanje preusmeravanja koje se zloupotrebljava kako bi se korisnici sa legitimnih login domena usmerili na infrastrukturu napadača—omogućavajući phishing i isporuku malvera, dok sve izgleda kao normalan sign-in tok.

Ovo je posebno relevantno za IT administratore u državnim i javnim organizacijama, koje su bile specifično ciljane u posmatranoj aktivnosti.

Šta je novo / ključni nalazi

Microsoft Defender Security Research Team je uočio eksploataciju OAuth mehanike preusmeravanja, pokretanu phishing-om, kroz signale iz email-a, identiteta i endpoint-a:

  • Zloupotreba tihih OAuth tokova: Napadači prave OAuth authorization URL-ove koristeći parametre kao što je prompt=none da pokušaju tihu proveru autentifikacije (bez UI-a).
  • Namerno nevažeći scope-ovi radi forsiranja putanje greške: Zahtevi uključuju scope=<invalid_scope> (ili druge okidače neuspeha) kako bi se pouzdano generisala OAuth greška.
  • Preusmeravanje ka URI-ju pod kontrolom napadača, pokrenuto greškom: Kada IdP vrati grešku (na primer, interaction_required), pregledač se preusmerava na registrovani redirect URI aplikacije, koji napadač konfiguriše da vodi na phishing stranice ili sajtove za preuzimanje malvera.
  • Za preusmeravanje nije neophodna krađa tokena: Napadač ne mora nužno da dovrši OAuth uspešno; preusmeravanje je glavni cilj.
  • Zloupotreba state parametra za personalizaciju: Parametar state—namenjen korelaciji zahteva/odgovora—prenamenjen je za prosleđivanje email adrese žrtve (plaintext, hex, Base64 ili prilagođeno kodiranje) kako bi phishing stranice automatski popunile identifikatore.
  • Obrasci isporuke kampanje: Phishing mamci su uključivali zahteve za e-potpis, finansijske/teme socijalnog osiguranja, deljenje dokumenata, Teams/sadržaj sastanaka i poruke za reset lozinke. Neki su koristili PDF priloge sa ugrađenim linkovima, pa čak i .ics pozivnice za kalendar.
  • Downstream alati: Stranice nakon preusmeravanja često su koristile phishing framework-e kao što je EvilProxy (attacker-in-the-middle), dizajnirane da prikupe kredencijale i session cookies, ponekad uz dodatne CAPTCHA/interstitial korake.

Uticaj na IT administratore i krajnje korisnike

  • Veći rizik od klika: Linkovi počinju na pouzdanim IdP domenima (na primer, login.microsoftonline.com), što povećava poverenje korisnika.
  • Pritisak na zaobilaženje odbrana: Tradicionalne provere reputacije URL-a mogu da se fokusiraju na početni domen i propuste krajnju destinaciju.
  • Potreba za vidljivošću kroz slojeve: Microsoft navodi da je Defender korelisao signale iz email-a, identiteta i endpoint-a, naglašavajući da detekcija jednim kontrolnim mehanizmom može biti nedovoljna.
  • Trajna pretnja: Microsoft Entra je onemogućio uočene maliciozne OAuth aplikacije, ali srodna aktivnost se nastavlja—monitoring je i dalje neophodan.

Koraci / naredne aktivnosti

  1. Lov na sumnjive OAuth authorize obrasce u logovima i proxy telemetriji, posebno:
    • prompt=none u kombinaciji sa neuobičajenim/nevažećim scope vrednostima
    • Česti OAuth neuspehi praćeni preusmeravanjima ka ne-korporativnim domenima
    • Upotreba /common/ u neočekivanim phishing kontekstima sa velikim obimom
  2. Pregled i ograničavanje app consent-a i app registrations:
    • Audit novokreiranih aplikacija i redirect URI-jeva za nepouzdane domene
    • Pojačati ograničenja ko može da registruje aplikacije/menja redirect URI-jeve u Entra ID
  3. Jačanje phishing zaštite izvan provere „pouzdan domen“:
    • Obezbediti da URL detonation/safe-link alati prate preusmeravanja
    • Edukovati korisnike da „počinje na Microsoft sign-in“ ne garantuje bezbednost
  4. Validacija Conditional Access i session kontrola:
    • Pratiti sign-in i OAuth error telemetriju radi anomalija i ciljanih korisničkih grupa
  5. Korišćenje Defender korelacije:
    • Iskoristiti Microsoft Defender for Office 365 + Defender for Identity/Endpoint za korelaciju email mamca, sign-in ponašanja i endpoint aktivnosti payload-a.

Trebate pomoć sa Security?

Naši stručnjaci mogu vam pomoći da implementirate i optimizujete vaša Microsoft rešenja.

Razgovarajte sa stručnjakom

Budite u toku sa Microsoft tehnologijama

Pročitajte originalni članak od Microsoft Defender Security Research Team
OAuthMicrosoft Entra IDphishingMicrosoft Defenderidentity security

Povezani članci

Security

Trivy kompromitacija lanca snabdevanja: Defender

Microsoft je objavio smernice za detekciju, istragu i ublažavanje kompromitacije Trivy lanca snabdevanja iz marta 2026, koja je pogodila Trivy binarni fajl i povezane GitHub Actions. Incident je važan jer je zloupotrebio pouzdane CI/CD bezbednosne alate za krađu akreditiva iz build pipeline-ova, cloud okruženja i developerskih sistema, dok je izgledalo kao da radi normalno.

Security

Upravljanje AI agentima: usklađivanje namere

Microsoft predstavlja model upravljanja za AI agente koji usklađuje korisničku, razvojnu, ulogama zasnovanu i organizacionu nameru. Ovaj okvir pomaže preduzećima da agente održe korisnim, bezbednim i usklađenim tako što definiše granice ponašanja i jasan redosled prioriteta kada dođe do konflikta.

Security

Defender predictive shielding zaustavlja GPO ransomware

Microsoft je opisao stvarni slučaj ransomware napada u kome je Defender predictive shielding otkrio zloupotrebu Group Policy Object (GPO) mehanizama pre početka enkripcije. Ojačavanjem propagacije GPO-a i prekidanjem kompromitovanih naloga, Defender je blokirao oko 97% pokušaja enkripcije i sprečio da bilo koji uređaj bude šifrovan putem GPO kanala isporuke.

Security

Microsoft agentic AI bezbednost na RSAC 2026

Microsoft je na RSAC 2026 predstavio sveobuhvatnu strategiju za bezbednost agentic AI sistema, uključujući skoru opštu dostupnost platforme Agent 365 od 1. maja, uz integraciju sa Defender, Entra i Purview alatima za upravljanje, zaštitu pristupa i sprečavanje prekomernog deljenja podataka. Ovo je važno jer kompanijama donosi bolju vidljivost AI rizika, otkrivanje neovlašćene upotrebe AI aplikacija i jaču zaštitu identiteta i podataka kako se AI agenti sve brže uvode u poslovna okruženja.

Security

Microsoft CTI-REALM open-source benchmark za AI detekciju

Microsoft je predstavio CTI-REALM, open-source benchmark koji proverava da li AI agenti mogu da obavljaju stvaran detection engineering posao, od analize threat intelligence izveštaja do pravljenja i validacije detekcionih pravila. To je važno za SOC i bezbednosne timove jer pomera procenu AI alata sa teorijskog cyber znanja na merljive operativne rezultate u realnim okruženjima poput Linux endpointa, AKS-a i Azure infrastrukture.

Security

Microsoft Zero Trust za AI: radionica i arhitektura

Microsoft je predstavio smernice „Zero Trust for AI“ i proširio svoj Zero Trust Workshop namenskim AI stubom, kako bi organizacije lakše procenile i uvele bezbednosne kontrole za modele, agente, podatke i automatizovane odluke. Ovo je važno jer kompanijama daje strukturisan okvir za zaštitu od rizika kao što su prompt injection, data poisoning i preširoka ovlašćenja, uz bolju usklađenost bezbednosnih, IT i poslovnih timova.