Phishing va OAuth token xatosi orqali Microsoft 365’ga yashirin kirish

Zamonaviy veb-ilovalarda oddiy ko‘rinadigan funksiyalar — aloqa formasi, obuna sahifasi, parolni tiklash oynasi — ba’zan kiberhujumchilar uchun kutilmagan imkoniyat yaratadi. Alohida qaralganda jiddiy tuyulmagan kamchiliklar bir-biriga ulanib, butun Microsoft 365 muhitini egallashgacha olib borishi mumkin.

Praetorian mutaxassislari tahliliga ko‘ra, hujumchilar ikki xil xatoni zanjir qilib ishlatmoqda:

  1. tizimni o‘z nomidan phishing xat yuborishga majbur qilish
  2. xatolik xabari orqali OAuth tokenni qo‘lga kiritish

Natijada hujumchi foydalanuvchi parolisiz ham korporativ resurslarga kira oladi.

1-bosqich: Tashkilotning o‘zi phishing xat yuboradi

Odatda phishing xatlari SPF, DKIM, DMARC kabi himoya mexanizmlari sabab spam yoki shubhali sifatida aniqlanadi. Ammo bu usulda hujumchi tashqi pochta serveridan emas, balki tashkilotning o‘z tizimidan foydalanadi.

Qanday qilib?

Ochiq API yoki forma maydonlariga maxsus qiymatlar kiritilib, tizim foydalanuvchiga xat yuborishga “aldanadi”. Xat:

  • tashkilotning rasmiy domenidan yuboriladi
  • barcha tekshiruvlardan o‘tadi
  • foydalanuvchining asosiy inbox’iga tushadi
  • mutlaqo ishonchli ko‘rinadi

Foydalanuvchi bu xatni haqiqiy deb qabul qiladi.

2-bosqich: Xatolik xabari orqali OAuth token sizib chiqadi

Ko‘plab tizimlarda noto‘g‘ri so‘rov yuborilganda, dasturchilar uchun qulay bo‘lishi maqsadida batafsil xatolik (debug) ma’lumotlari qaytariladi.

Hujumchi ataylab buzilgan JSON so‘rov yuboradi. Tizim esa oddiy xato o‘rniga quyidagilarni qaytaradi:

  • ichki diagnostika ma’lumotlari (stack trace)
  • servis tafsilotlari
  • eng xavflisi — faol OAuth JWT token

Bu token Microsoft Graph API bilan ishlash uchun tizim tomonidan ishlatilayotgan haqiqiy ruxsat kalitidir.

3-bosqich: Token yordamida Microsoft 365 resurslariga kirish

OAuth token qo‘lga kiritilgach, hujumchiga login yoki parol kerak bo‘lmaydi. Token vakolatiga qarab u:

  • SharePoint hujjatlarini yuklab olishi
  • Teams yozishmalarini o‘qishi
  • Outlook kalendarlarini o‘zgartirishi
  • Azure resurslariga kirishi

mumkin.

Bundan tashqari, hujumchi xatolikni qayta-qayta chaqirib, yangi tokenlarni olib turishi mumkin. Bu esa kirishni uzoq muddat saqlab turishga imkon beradi.

Nima uchun bu hujum xavfli?

Bu yerda zararli dastur yoki klassik eksploit ishlatilmaydi. Hujum:

  • tizimning o‘z funksiyasi
  • noto‘g‘ri xatolik qaytarish mexanizmi
  • ishonchli pochta infratuzilmasi

asosida amalga oshiriladi. Shu sababli xavfsizlik tizimlari buni ko‘pincha oddiy trafik deb qabul qiladi.

Himoyalanish choralar

Tashkilotlar quyidagi amaliy choralarni ko‘rishi zarur:

  • Ochiq API va formalar uchun qat’iy input tekshiruvi (validation)
  • Production muhitda batafsil xatolik xabarlarini o‘chirish
  • Debug ma’lumotlarini faqat ichki loglarda saqlash
  • OAuth token vakolatlarini minimal darajada cheklash (least privilege)
  • API faoliyatini muntazam audit qilish
  • Tizimdan xat yuboruvchi endpoint’larni alohida nazoratga olish

Kiberhujumlar endi faqat zaif parol yoki eksploitlarga tayanmayapti. Hujumchilar tizim ichidagi kichik mantiqiy xatolarni birlashtirib, katta xavf tug‘diradigan hujum zanjirlarini yaratmoqda.

Phishing, xatolik xabari va OAuth token sizib chiqishi birlashganda, Microsoft 365 kabi yirik infratuzilma ham himoyasiz qolishi mumkin.