Onderzoekers hebben een nieuwe phishingmethode ontdekt waarbij hackers misbruik maken van legitieme Microsoft-domeinen om gebruikers naar kwaadaardige websites te leiden. Door gebruik te maken van Active Directory Federation Services (ADFS) wisten aanvallers Microsoft 365-inloggegevens te stelen, zonder dat traditionele beveiligingssystemen alarm sloegen.
Slimme misleiding met legitieme links
De aanval werd geanalyseerd door Push Security, een bedrijf dat gespecialiseerd is in de bescherming tegen identiteitsgerichte aanvallen. Medewerkers van verschillende organisaties werden omgeleid via een officiële outlook.office.com-link naar een phishingpagina. Op het eerste gezicht leek de redirect afkomstig van Microsoft zelf, waardoor gebruikelijke filters niet aansloegen.
Gesponsorde link
Het startpunt van de aanval was een malafide gesponsorde link in Google, bedoeld voor gebruikers die zochten naar ‘Office 265’ – vermoedelijk een typefout. Na een klik volgde een keten van redirects: van Microsofts Office-domein naar bluegraintours\[.]com en uiteindelijk naar een phishingpagina die was ingericht om inloggegevens te verzamelen.
Misbruik van ADFS
Uit het onderzoek blijkt dat de aanvaller een eigen Microsoft-tenant had opgezet met ADFS-configuratie. ADFS is een single sign-on (SSO)-oplossing van Microsoft waarmee gebruikers met één set inloggegevens toegang krijgen tot meerdere applicaties. Door dit systeem te misbruiken, konden de criminelen authenticatieaanvragen onderscheppen en doorsturen naar hun phishingomgeving.
Om detectie te bemoeilijken, voorzagen de aanvallers de tussenliggende domeinen van ogenschijnlijk legitieme content, zoals blogposts. Bovendien werd de phishingpagina alleen getoond aan ‘geldige’ doelwitten; anderen werden automatisch teruggeleid naar het echte office.com.
Experimenteren met nieuwe methoden
Volgens Jacques Louw, medeoprichter en Chief Product Officer van Push Security, lijkt het niet om een gerichte aanval te gaan. “We zien een groep die experimenteert met nieuwe technieken om gebruikers via vertrouwde links naar standaard phishingkits te lokken, vergelijkbaar met groepen als Shiny Hunters en Scattered Spider”, aldus Louw.
Advies voor organisaties
Hoewel Microsoft klanten al langer aanspoort over te stappen naar Azure Active Directory, blijft ADFS beschikbaar en vatbaar voor misbruik. Push Security adviseert organisaties daarom om actief te monitoren op verdachte ADFS-redirects en advertentieparameters in Google-links te controleren. Deze controles kunnen vroegtijdig wijzen op pogingen om gebruikers naar phishingpagina’s te leiden.
Met deze aanval wordt duidelijk dat zelfs vertrouwde domeinen als office.com kunnen worden ingezet als wapen in steeds geavanceerdere phishingcampagnes.