安全公司Proofpoint研究人員發(fā)現(xiàn)一個(gè)新的同意網(wǎng)絡(luò)釣魚(Consent Phishing)攻擊行動(dòng),惡意攻擊者濫用微軟已驗(yàn)證發(fā)布者(Verified Publisher)狀態(tài)����,誘使受害者授給惡意云計(jì)算應(yīng)用程序權(quán)限,使攻擊者能夠訪問用戶資料���,并取得電子郵件信箱�����、日歷和會(huì)議邀請(qǐng)委派權(quán)限��。
安全公司Proofpoint研究人員發(fā)現(xiàn)一個(gè)新的同意網(wǎng)絡(luò)釣魚(Consent Phishing)攻擊行動(dòng)�,惡意攻擊者濫用微軟已驗(yàn)證發(fā)布者(Verified Publisher)狀態(tài)��,誘使受害者授給惡意云計(jì)算應(yīng)用程序權(quán)限���,使攻擊者能夠訪問用戶資料����,并取得電子郵件信箱�、日歷和會(huì)議邀請(qǐng)委派權(quán)限。
在這個(gè)新的同意網(wǎng)絡(luò)釣魚攻擊活動(dòng)中,由于攻擊者使用微軟已驗(yàn)證發(fā)布者狀態(tài)���,因此當(dāng)惡意第三方OAuth應(yīng)用程序�����,請(qǐng)求通過用戶賬戶訪問資料時(shí)��,增加了用戶被誘騙同意的可能性�����,研究人員發(fā)現(xiàn)惡意程序所取得的委派權(quán)限(Delegated Permissions)影響極廣����,能夠?yàn)g覽用戶的電子郵件��、調(diào)整信箱配置�����,以及訪問和賬戶相關(guān)聯(lián)的文件和資料(下圖)��。
圖片來源/Proofpoint
微軟已驗(yàn)證發(fā)布者是指����,一個(gè)應(yīng)用程序發(fā)布者經(jīng)由MCPP驗(yàn)證身份���,并將該MCPP賬戶和應(yīng)用程序注冊(cè)相關(guān)聯(lián)���,所獲得的狀態(tài)��。當(dāng)應(yīng)用程序發(fā)布者經(jīng)過驗(yàn)證時(shí)���,在應(yīng)用程序Azure AD同意提示和網(wǎng)頁中,變會(huì)出現(xiàn)藍(lán)色的已驗(yàn)證徽章��。微軟提到�����,攻擊者通過冒充合法公司注冊(cè)MCPP賬戶���。攻擊者將欺詐取得的合作伙伴賬戶��,添加到他們?cè)贏zure AD所創(chuàng)建的OAuth應(yīng)用程序注冊(cè)中�����,誘使用戶授給惡意應(yīng)用程序權(quán)限�����。
該網(wǎng)絡(luò)釣魚攻擊主要影響英國和愛爾蘭的部分用戶�����,Proofpoint研究人員總共發(fā)現(xiàn)了三個(gè)不同的惡意程序發(fā)布者�����,以及他們所創(chuàng)建的三個(gè)惡意應(yīng)用程序���,這些惡意應(yīng)用程序鎖定相同的組織���,并且與相同的惡意基礎(chǔ)設(shè)施關(guān)聯(lián),已有多個(gè)用戶上鉤授權(quán)惡意應(yīng)用程序����。
在獲得受害者同意后,惡意云計(jì)算應(yīng)用程序默認(rèn)取得委派權(quán)限�����,使攻擊者可以訪問和操縱受感染用戶關(guān)聯(lián)的電子郵件信箱、日歷和會(huì)議邀請(qǐng)���,而且因?yàn)槭芎φ咄獾臋?quán)限中����,還包括脫機(jī)訪問��,因此在同意權(quán)限后不需用戶的互動(dòng)�����,便能夠訪問受感染賬戶的資料��,受害者的組紡織品牌也可能遭到濫用���。
微軟在收到Proofpoint通報(bào)后,已經(jīng)下架惡意應(yīng)用程序�,停用攻擊者擁有的賬戶,并且主動(dòng)通知受影響用戶�,同時(shí)也增加MCPP審查流程的安全措施,避免之后發(fā)生類似的欺詐活動(dòng)����。Proofpoint研究人員則建議��,用戶不應(yīng)該僅根據(jù)經(jīng)驗(yàn)證發(fā)布者狀態(tài)就信任OAuth應(yīng)用程序�,應(yīng)該仔細(xì)評(píng)估授給第三方應(yīng)用程序訪問權(quán)限的風(fēng)險(xiǎn)���。
立即登錄��,閱讀全文
閩公網(wǎng)安備 35010202001226號(hào)
