L’échec de la validation des sous-domaines dans les soi-disant « URL personnalisées » par Box, Zoom et Google Docs a créé un moyen puissant d’améliorer leurs campagnes de phishing, ont révélé des chercheurs en sécurité.

Les URL personnalisées peuvent être personnalisées pour inclure un nom de marque et une description de l’objectif du lien (par exemple, nom de marque/registernow) et redirigent généralement vers une URL générique plus longue.

Largement utilisées par les applications de logiciel en tant que service (SaaS), les URL personnalisées sont utilisées pour partager ou demander des fichiers, inviter les utilisateurs à s’inscrire à des événements, etc.

Faux sentiment de sécurité

Les vulnérabilités découvertes dans Box, Zoom et Google Docs permettent aux attaquants d’abuser de l’apparente assurance que les URL de vanité offrent aux destinataires qu’ils traitent avec une organisation légitime plutôt qu’avec des cybercriminels.

Les chercheurs de Varonis Threat Labs ont découvert que les applications SaaS validaient l’URI des URL personnalisées (la séquence unique de caractères à la fin du lien), mais pas son sous-domaine descriptif (la partie précédant l’URI).

« En conséquence, les pirates peuvent utiliser leurs propres comptes SaaS pour générer des liens vers du contenu malveillant (fichiers, dossiers, pages de destination, formulaires, etc.) qui semble être hébergé par le compte SaaS sanctionné de votre entreprise », lit-on dans un communiqué. article de blog publié par Varonis Threat Labs.

« Pour y parvenir, il suffit de changer de sous-domaine dans le lien. »

Taux de succès

Cette technique d’attaque, comme démontré dans ce vidéoagirait pour augmenter massivement le taux de réussite des campagnes de phishing ou de distribution de logiciels malveillants, selon Rob Sobers, CMO de Varonis.

« Cela peut faire une énorme différence car les liens usurpés semblent légitimes pour les technologies de sécurité telles que les filtres de messagerie et les CASB (Cloud Access Security Broker) », a déclaré Sobers. La gorgée quotidienne.

« Ils bloqueraient normalement une URL falsifiée ou mal orthographiée (comme apple-support.zoom.us). Dans ce cas, puisque nous usurpons l’URL RÉELLE, il n’y a aucun moyen pour ces types de technologies de filtrer automatiquement ou de signaler l’URL comme malveillante.

Sobers a poursuivi : « De plus, les utilisateurs avertis peuvent généralement détecter des différences subtiles lors du chargement d’une fausse URL dans leur navigateur, comme un certificat de sécurité invalide ou un sous-domaine mal orthographié. Avec cet abus, l’URL et le certificat sont complètement valides.

Étant donné que trois des applications SaaS les plus utilisées contiennent le même défaut, « il est très probable que des problèmes similaires existent dans d’autres applications SaaS », a averti Sobers.

Signes avant-coureurs

Box, l’application de gestion de contenu cloud populaire, a corrigé des failles affectant les URL personnalisées pour le partage de fichiers et les formulaires publics utilisés pour demander des fichiers et des informations associées.

Le problème de partage de fichiers a été exacerbé par la capacité d’un attaquant à ajouter une protection par mot de passe aux fichiers malveillants et à télécharger le logo d’une marque ciblée et à recréer son jeu de couleurs, tandis que l’absence de marque sur les formulaires publics rend plus difficile pour les victimes de repérer les défauts de conception révélateurs. .

Un porte-parole de Zoom a déclaré La gorgée quotidienne qu’il avait abordé l’abus potentiel des URL personnalisées pour les enregistrements de réunions et les pages d’inscription aux webinaires « en avertissant les utilisateurs s’ils sont redirigés vers un sous-domaine différent ».

Cependant, Varonis a exhorté les utilisateurs à être « prudents lorsqu’ils accèdent à des liens Zoom de marque » étant donné que « les utilisateurs cliquent souvent sur des messages d’avertissement non critiques ».

Les attaquants pourraient également marquer un formulaire Google demandant des données confidentielles sensibles avec le logo de l’entreprise ciblée comme yourcompanydomain.docs.google.com/forms/d/e/:form_id/viewform.

« Le formulaire peut nécessiter une inscription avec un e-mail du domaine de votre entreprise, ce qui le rend plus fiable », a déclaré Varonis.

Les documents Google Doc échangés via la fonctionnalité « publier sur le Web » sont également vulnérables.

Google n’a pas encore déployé de correctif, selon Varonis.