Microsoft: Peretas Manfaatkan Alur Error OAuth untuk Sebarkan Malware
Microsoft memperingatkan bahwa pelaku ancaman kini menyalahgunakan mekanisme pengalihan (redirect) OAuth yang sah untuk melewati perlindungan anti-phishing pada email dan browser, lalu mengarahkan korban ke halaman berbahaya.
Peneliti dari Microsoft Defender menemukan kampanye ini terutama menyasar organisasi pemerintahan dan sektor publik, dengan tautan phishing yang mendorong korban melakukan autentikasi terhadap aplikasi OAuth berbahaya.
Umpan Phishing dan URL OAuth Sah
Dalam serangan yang diamati, pelaku mengirim email yang menyamar sebagai permintaan tanda tangan elektronik, pemberitahuan Jaminan Sosial, undangan rapat, reset kata sandi, hingga topik finansial dan politik.
Tautan yang disematkan biasanya berupa URL OAuth yang tampak sah dari penyedia identitas seperti Microsoft Entra ID. Dalam beberapa kasus, URL tersebut disisipkan ke dalam file PDF guna menghindari deteksi sistem keamanan email.
Eksploitasi Alur Error untuk Redirect Diam-Diam
OAuth 2.0 memungkinkan aplikasi mendapatkan akses terdelegasi terhadap data pengguna melalui penyedia identitas. Dalam kampanye ini, pelaku membuat aplikasi OAuth berbahaya di tenant yang mereka kendalikan dan mengonfigurasinya dengan redirect URI yang mengarah ke infrastruktur mereka.
Meski permintaan autentikasi terlihat sah, parameter tertentu seperti scope tidak valid atau penggunaan prompt=none memicu error autentikasi. Sesuai standar OAuth, penyedia identitas akan mengarahkan pengguna ke redirect URI yang telah dikonfigurasi—yang dalam kasus ini milik penyerang.
Dengan cara ini, pelaku memaksa pengalihan tanpa login interaktif, sehingga mengurangi kecurigaan korban.
Bypass MFA dan Pencurian Sesi
Dalam beberapa insiden, korban diarahkan ke halaman phishing yang dijalankan menggunakan kerangka attacker-in-the-middle seperti EvilProxy. Platform ini dapat mencegat cookie sesi yang sah dan melewati perlindungan multi-factor authentication (MFA).
Peneliti juga menemukan penyalahgunaan parameter “state” untuk secara otomatis mengisi alamat email korban di halaman phishing, meningkatkan kesan legitimasi.
Distribusi Malware Lewat File ZIP dan LNK
Pada skenario lain, korban dialihkan ke jalur “/download” yang secara otomatis mengunduh file ZIP berisi shortcut (.LNK) berbahaya dan alat HTML smuggling.
Ketika file .LNK dibuka, PowerShell dijalankan untuk melakukan pengintaian pada sistem korban dan mengekstrak komponen yang diperlukan untuk tahap berikutnya, yaitu DLL side-loading.
Sebuah DLL berbahaya (crashhandler.dll) mendekripsi dan memuat payload akhir (crashlog.dat) langsung ke memori. Sementara itu, executable sah (stream_monitor.exe) dijalankan sebagai umpan untuk mengalihkan perhatian korban.
Ancaman Berbasis Identitas
Microsoft menekankan bahwa serangan ini merupakan ancaman berbasis identitas yang memanfaatkan perilaku standar OAuth dalam menangani error melalui redirect.
Alih-alih mengeksploitasi celah keamanan teknis, pelaku memanfaatkan parameter tidak valid untuk memicu pengalihan error secara diam-diam sebagai bagian dari serangan nyata.
Rekomendasi Mitigasi
Microsoft menyarankan organisasi untuk:
- Membatasi izin aplikasi OAuth secara ketat
- Menerapkan perlindungan identitas kuat dan kebijakan Conditional Access
- Menggunakan deteksi lintas domain antara email, identitas, dan endpoint
Dengan meningkatnya penyalahgunaan alur error OAuth, organisasi perlu memperkuat pengawasan terhadap aplikasi pihak ketiga serta memantau pola autentikasi yang tidak biasa guna mencegah kompromi berbasis identitas.
