हमला कैसे काम करता है
हमला एक फ़िशिंग ईमेल से शुरू होता है, जिसमें ई-हस्ताक्षर अनुरोध, एचआर संचार, माइक्रोसॉफ्ट टीम मीटिंग आमंत्रण और पासवर्ड रीसेट अलर्ट का प्रतिरूपण करने वाले लालच देखे जाते हैं, दुर्भावनापूर्ण लिंक या तो ईमेल के मुख्य भाग में या पीडीएफ अनुलग्नक के अंदर एम्बेडेड होते हैं, माइक्रोसॉफ्ट के शोधकर्ताओं ने ब्लॉग पोस्ट में लिखा है।
लिंक एक वास्तविक OAuth प्राधिकरण समापन बिंदु की ओर इशारा करता है लेकिन जानबूझकर टूटे हुए मापदंडों के साथ बनाया गया है। हमलावर “प्रॉम्प्ट = कोई नहीं” मान का उपयोग करते हैं, बिना लॉगिन स्क्रीन के एक मूक प्रमाणीकरण का अनुरोध करते हैं, और इसे एक अमान्य स्कोप मान के साथ जोड़ते हैं। संयोजन को विफल करने के लिए डिज़ाइन किया गया है। जब ऐसा होता है, तो पहचान प्रदाता उपयोगकर्ता के ब्राउज़र को हमलावर द्वारा पंजीकृत यूआरआई पर पुनर्निर्देशित करता है।
शोधकर्ताओं ने ब्लॉग पोस्ट में लिखा, “हालांकि यह व्यवहार मानकों के अनुरूप है, विरोधी विश्वसनीय प्राधिकरण समापन बिंदुओं के माध्यम से उपयोगकर्ताओं को हमलावर-नियंत्रित गंतव्यों पर पुनर्निर्देशित करने के लिए इसका दुरुपयोग कर सकते हैं।”