Τα διακριτικά OAuth δεν λήγουν όταν οι εργαζόμενοι αποχωρούν, αλλάζουν οι κωδικοί πρόσβασης ή οι εφαρμογές γίνονται ακατάλληλες. Το πρόγραμμα ασφαλείας σας πρέπει να κατανοήσει αυτόν τον κίνδυνο και να καταργήσει τα περιττά και εγκαταλελειμμένα δικαιώματα το συντομότερο δυνατό.
Φανταστείτε ένα εφεδρικό κλειδί. Το δώσατε σε έναν εργολάβο πριν από έξι μήνες για να μπορέσει να επισκευάσει το HVAC σας. Η δουλειά τελείωσε. Ο εργολάβος έφυγε. Αλλά το κλειδί εξακολουθεί να λειτουργεί και δεν το ζητήσατε ποτέ πίσω. Αυτό συμβαίνει λίγο πολύ κάθε φορά που κάποιος στην εταιρεία σας συνδέει μια εφαρμογή τρίτου μέρους με το Google Workspace ή το Microsoft 365 χρησιμοποιώντας το OAuth. Τα ψηφιακά κλειδιά δημιουργούνται από τους υπαλλήλους σας. Δεν λήγουν και στους περισσότερους οργανισμούς κανείς δεν τα παρακολουθεί, δεν τα ελέγχει ή δεν τα αφαιρεί όταν δεν τα χρειάζεται πλέον!
OAuth είναι το σύστημα πίσω από τα κουμπιά «Σύνδεση με την Google» και «Να επιτρέπεται η πρόσβαση» στα οποία κάνει κλικ η ομάδα σας κάθε μέρα. Επιτρέπει στις εφαρμογές να διαβάζουν το ημερολόγιό σας, να στέλνουν email εκ μέρους σας ή να εξάγουν δεδομένα από τον χώρο αποθήκευσης στο cloud, όλα χωρίς να κοινοποιούν τον πραγματικό σας κωδικό πρόσβασης. Αυτό ακούγεται υπέροχο. Το πρόβλημα είναι ότι το διακριτικό πρόσβασης που δημιουργεί παραμένει πολύ καιρό αφότου ξεχάσετε την ύπαρξη της εφαρμογής. Δεν ακυρώνεται όταν ένας υπάλληλος αποχωρεί. Δεν επαναφέρεται όταν κάποιος αλλάξει τον κωδικό πρόσβασής του. Ο έλεγχος ταυτότητας πολλαπλών παραγόντων δεν κάνει τίποτα για να σταματήσει έναν εισβολέα που κατέχει ήδη ένα έγκυρο διακριτικό.
Έρευνα από Υλική ασφάλεια διαπίστωσαν ότι το 80% των υπευθύνων ασφαλείας θεωρούν τις μη διαχειριζόμενες επιχορηγήσεις OAuth κρίσιμο ή σημαντικό κίνδυνο. Αυτός ο αριθμός είναι υψηλός εδώ και χρόνια. Η ευαισθητοποίηση μπορεί να μην είναι το κύριο ζήτημα εδώ, ωστόσο, ο μετριασμός αυτής της απειλής is.
45% των οργανισμών δεν κάνουν τίποτα για την παρακολούθηση των επιχορηγήσεων OAuth σε μεγάλη κλίμακα
33% βασίζονται σε χειροκίνητη παρακολούθηση, όπως υπολογιστικά φύλλα και ad hoc αξιολογήσεις
Ένα υπολογιστικό φύλλο που σας ενημερώνει για τις εφαρμογές που έχουν πρόσβαση δεν είναι το ίδιο με το να γνωρίζετε τι κάνουν αυτές οι εφαρμογές με αυτήν την πρόσβαση. Το ένα είναι μια λίστα. Το άλλο είναι η ασφάλεια. Αυτή τη στιγμή, οι περισσότερες ομάδες έχουν μόνο τη λίστα.
Το 2024 και το 2025, ένας απειλητικός παράγοντας γνωστός ως UNC6395 (παρακολουθούμενος από την Μονάδα 42 του Πάλο Άλτο) χρησιμοποίησε κλεμμένα διακριτικά ανανέωσης OAuth από το Drift, μια πλατφόρμα δέσμευσης πωλήσεων, για να αποκτήσει πρόσβαση στα περιβάλλοντα Salesforce περισσότερων από 700 οργανισμών. Το Drift είχε νόμιμες συνδέσεις OAuth με αυτούς τους λογαριασμούς Salesforce. Ο εισβολέας απέκτησε αυτά τα διακριτικά, πιθανώς μέσω προηγούμενων επιθέσεων ηλεκτρονικού "ψαρέματος" (phishing), και μπήκε κατευθείαν από την μπροστινή πόρτα.
Τι έκανε αυτή την επίθεση τόσο αποτελεσματική
Τίποτα δεν φαινόταν ύποπτο. Τα διακριτικά ήταν έγκυρα. Η εφαρμογή ήταν αξιόπιστη. Η σύνδεση δεν πραγματοποιήθηκε ποτέ επειδή ο εισβολέας δεν συνδέθηκε καθόλου. Παρουσίασαν ένα υπάρχον διακριτικό για το οποίο είχε ήδη δοθεί άδεια χρήσης στο Drift. Το MFA δεν είχε κανένα ρόλο να παίξει επειδή δεν είχε εισαχθεί κωδικός πρόσβασης. Μόλις μπήκε μέσα, το UNC6395 τράβηξε δεδομένα και τα έψαξε για διαπιστευτήρια όπως κλειδιά AWS, διακριτικά Snowflake και κωδικούς πρόσβασης. Οι Cloudflare, PagerDuty και δεκάδες άλλες εφαρμογές παγιδεύτηκαν.
Το συμπέρασμα δεν είναι ότι το Drift ήταν κακή εφαρμογή. Το συμπέρασμα είναι ότι μια αξιόπιστη εφαρμογή κατά την εγκατάσταση μπορεί να αποτελέσει κίνδυνο αργότερα, εάν κλαπούν τα διαπιστευτήριά της. Τα εργαλεία ασφαλείας σας πρέπει να παρακολουθούν τι κάνουν οι συνδεδεμένες εφαρμογές με την πάροδο του χρόνου, όχι μόνο ποια δικαιώματα ζήτησαν την πρώτη μέρα.
Τα περισσότερα εργαλεία ασφαλείας OAuth κάνουν τη δουλειά τους τη στιγμή που συνδέεται μια εφαρμογή. Ελέγχουν αν τα ζητούμενα δικαιώματα φαίνονται υπερβολικά. Επισημαίνουν εφαρμογές από άγνωστους προμηθευτές. Αυτό είναι πραγματικά χρήσιμο και θα έπρεπε να το κάνετε. Αλλά δεν αρκεί από μόνο του.
Μια γνωστή, αξιόπιστη εφαρμογή με εύλογα δικαιώματα θα περνούσε εύκολα αυτούς τους ελέγχους. Εάν τα διαπιστευτήρια αυτής της εφαρμογής κλαπούν έξι μήνες αργότερα, ο έλεγχος κατά την εγκατάσταση δεν θα εντοπίσει τίποτα. Ο κίνδυνος προέκυψε εκ των υστέρων.
Όταν σχεδιάστηκε το OAuth, η τυπική περίπτωση χρήσης ήταν ένας μικρός αριθμός εφαρμογών που είχαν εγκριθεί από την IT και είχαν περιορισμένη πρόσβαση σε κοινόχρηστα ημερολόγια. Αυτή ήταν μια διαχειρίσιμη κατάσταση. Σήμερα, κάθε εργαζόμενος συνδέει ανεξάρτητα εργαλεία τεχνητής νοημοσύνης, εφαρμογές λήψης σημειώσεων, πλατφόρμες αυτοματισμού και πρόσθετα παραγωγικότητας στους λογαριασμούς εργασίας του. Κάθε σύνδεση δημιουργεί ένα διακριτικό (token). Κανένα από αυτά τα διακριτικά δεν λήγει αυτόματα. Οι περισσότεροι οργανισμοί δεν γνωρίζουν πόσα έχουν.
Καθώς τα εργαλεία τεχνητής νοημοσύνης (AI) καθίστανται στάνταρ στον χώρο εργασίας, ο αριθμός των συνδέσεων OAuth στο περιβάλλον σας θα αυξάνεται. Ο πλήρης αποκλεισμός των εργαζομένων από τη χρήση εργαλείων τεχνητής νοημοσύνης δεν είναι ρεαλιστικός και δεν θα είχε σταματήσει την επίθεση Drift ούτως ή άλλως, καθώς ξεκίνησε με μια αξιόπιστη, εγκεκριμένη ενσωμάτωση.
Ξεκινήστε αναζητώντας μια λίστα με κάθε εφαρμογή OAuth που είναι συνδεδεμένη στο περιβάλλον Google Workspace ή Microsoft 365. Και οι δύο πλατφόρμες επιτρέπουν στους διαχειριστές να το κάνουν αυτό χωρίς εργαλεία τρίτων. Αναζητήστε εφαρμογές που δεν αναγνωρίζετε, εφαρμογές που είναι συνδεδεμένες με λογαριασμούς ατόμων που έχουν αποχωρήσει και εφαρμογές με πολύ ευρεία δικαιώματα, όπως "ανάγνωση όλων των αλληλογραφίας" ή "πρόσβαση σε όλα τα αρχεία". Αυτές είναι οι πρώτες σας προτεραιότητες για έλεγχο και ανάκληση.
Από εκεί και πέρα, αποκτήστε τη συνήθεια να εξετάζετε τις επιχορηγήσεις OAuth τριμηνιαίως. Χρειάζεται λιγότερος χρόνος από όσο νομίζετε αφού κάνετε τον αρχικό καθαρισμό και αποτρέπει την εκ νέου έξοδο της λίστας από τον έλεγχο. Όταν οι υπάλληλοι αποχωρούν, συμπεριλάβετε την ανάκληση OAuth στη λίστα ελέγχου αποχώρησης, μαζί με την επαναφορά κωδικού πρόσβασης και την απενεργοποίηση λογαριασμού.
Το βήμα δράσης σας στο CyberHoot
Αυτή την εβδομάδα, συνδεθείτε στην Κονσόλα διαχειριστή Google ή στην πύλη Microsoft Entra και εμφανίστε τη λίστα με τις συνδεδεμένες εφαρμογές τρίτων. Μετρήστε τες. Πιθανότατα θα εκπλαγείτε. Επιλέξτε τις πέντε που σας φαίνονται λιγότερο οικείες και ελέγξτε σε τι έχουν πρόσβαση. Αφαιρέστε όσες δεν ανήκουν. Αυτή η και μόνο ενέργεια κάνει τον οργανισμό σας σημαντικά ασφαλέστερο σήμερα. Ενεργήστε!
admin.google.com → Users → [User] → Security → Connected Applications
learn.microsoft.com/en-us/entra/identity/enterprise-apps/manage-application-permissions
Ανακαλύψτε και μοιραστείτε τις τελευταίες τάσεις, συμβουλές και βέλτιστες πρακτικές στον τομέα της κυβερνοασφάλειας – μαζί με νέες απειλές που πρέπει να προσέξετε.
Τα νέα ονόματα δεδομένων αναφοράς MDASH και Claude Mythos Preview είναι οι κορυφαίοι πράκτορες τεχνητής νοημοσύνης που βρίσκουν τρωτά σημεία zero-day...
Διαβάστε περισσότερα
Ένας Ξεχασμένος Κωδικός Πρόσβασης, Παραλίγο Καταστροφή. Ένα μόνο μηχάνημα με Windows σε ένα κατάστημα λιανικής πώλησης είχε αποθηκευμένο στην προσωρινή μνήμη...
Διαβάστε περισσότερα
Τώρα έχετε πέντε σημαντικούς λόγους για να ξεκινήσετε μια συζήτηση σχετικά με την ασφάλεια του δρομολογητή με τους πελάτες της μικρής επιχείρησής σας αυτή τη στιγμή...
Διαβάστε περισσότεραΑποκτήστε πιο οξυδερκή εικόνα των ανθρώπινων κινδύνων, με τη θετική προσέγγιση που υπερτερεί των παραδοσιακών δοκιμών ηλεκτρονικού "ψαρέματος" (phishing).
