利用 OAuth 重定向进行帐户接管的 Microsoft365 主题攻击

我们观察到两起针对 Microsoft 365 用户的复杂网络钓鱼活动，它们利用 OAuth 重定向漏洞并结合品牌模仿技术。 

威胁研究人员正在警告各组织注意这些高度针对性的攻击，这些攻击旨在绕过传统的安全控制并实现帐户接管（ATO）。

这些恶意活动利用包括 Adobe 和 DocuSign 在内的熟悉品牌来诱骗用户授予欺诈性OAuth 应用程序的权限。

Proofpoint 的威胁洞察团队发现了三个之前未披露的恶意 OAuth 应用程序，伪装成“Adobe Drive”、“Adobe Acrobat”和“DocuSign”，将受害者重定向到凭证收集和恶意软件传送页面。

Proofpoint 表示：“这些老练的攻击者已经改变了 Microsoft 365 租户设置，并利用租户架构将网络钓鱼内容直接嵌入企业环境中。” 

“与通常依赖相似域名或电子邮件欺骗的传统网络钓鱼不同，这种技术完全在 Microsoft 生态系统内运行。”

此次攻击利用了 OAuth 2.0 授权流程的工作方式。当用户点击看似合法的 Microsoft URL 时，OAuth 实施漏洞会将用户重定向到攻击者控制的网站。 

可以通过修改有效授权流中的“response_type”或“scope”等参数来触发此重定向。

这些攻击特别危险，因为它们可以绕过标准电子邮件安全协议，例如域名信誉评估、DMARC 实施和反欺骗策略。 

由于网络钓鱼消息通过 Microsoft 的合法服务器，因此它们触发安全警报的可能性很小。

为了避免被发现，恶意应用程序请求有限的权限范围，例如“个人资料”、“电子邮件”和“openid”。 

然而，Proofpoint 的威胁检测引擎仍然将其归类为恶意威胁，从而保护使用其帐户接管保护服务的客户。

推荐

拥有Microsoft 365环境的组织应该实施防网络钓鱼的身份验证方法（例如 FIDO2 安全密钥）并建立严格的条件访问策略。 

安全专家建议禁用传统的身份验证协议并实施多因素身份验证的数字匹配，以防止攻击者绕过 MFA。

这些攻击主要针对高价值员工，包括高管、客户经理和财务人员，他们通常可以访问敏感数据。 

如果成功，攻击者将获得对电子邮件、文件、联系人和 Microsoft Teams 聊天的持久和独立访问权限。安全研究人员指出：“这是一种日益增长的趋势的一部分，攻击者利用云服务中的内置信任机制。”

“通过利用微软的合法电子邮件系统，这些网络钓鱼邮件可以绕过安全控制，同时对收件人来说却完全是真实的。”

组织应该检查Azure AD登录日志，实施有风险的登录警报，并监控可疑的 OAuth 应用程序同意请求。

此外，安全团队应实施防网络钓鱼的 MFA，并定期进行安全意识培训，特别针对 OAuth 同意网络钓鱼策略。

攻击指标

研究人员已经发布了多项攻击指标 (IOC)，其中包括：

应用程序 ID：

14b2864e-3cff-4d33-b5cd-7f14ca272ea4 ('Adobe Drive') 
85da47ec-2977-40ab-af03-f3d45aaab169 ('Adobe Drive X') 
355d1228-1537-4e90-80a6-dae111bb4d70 ('Adobe Acrobat') 
6628b5b8-55af-42b4-9797-5cd5c148313c ('DocuSign')

回复和重定向 URL 包括托管在 worker.dev、tigris.dev 和 pages.dev 平台上的域。

来源：https://cybersecuritynews.com/microsoft365-themed-attack-leveraging-oauth-redirection/