安全公司Proofpoint研究人員發(fā)現(xiàn)一個新的同意網(wǎng)絡(luò)釣魚(Consent Phishing)攻擊行動,惡意攻擊者濫用微軟已驗證發(fā)布者(Verified Publisher)狀態(tài),誘使受害者授給惡意云計算應(yīng)用程序權(quán)限,使攻擊者能夠訪問用戶資料,并取得電子郵件信箱、日歷和會議邀請委派權(quán)限。
在這個新的同意網(wǎng)絡(luò)釣魚攻擊活動中,由于攻擊者使用微軟已驗證發(fā)布者狀態(tài),因此當(dāng)惡意第三方OAuth應(yīng)用程序,請求通過用戶賬戶訪問資料時,增加了用戶被誘騙同意的可能性,研究人員發(fā)現(xiàn)惡意程序所取得的委派權(quán)限(Delegated Permissions)影響極廣,能夠瀏覽用戶的電子郵件、調(diào)整信箱配置,以及訪問和賬戶相關(guān)聯(lián)的文件和資料(下圖)。
圖片來源/Proofpoint
微軟已驗證發(fā)布者是指,一個應(yīng)用程序發(fā)布者經(jīng)由MCPP驗證身份,并將該MCPP賬戶和應(yīng)用程序注冊相關(guān)聯(lián),所獲得的狀態(tài)。當(dāng)應(yīng)用程序發(fā)布者經(jīng)過驗證時,在應(yīng)用程序Azure AD同意提示和網(wǎng)頁中,變會出現(xiàn)藍(lán)色的已驗證徽章。微軟提到,攻擊者通過冒充合法公司注冊MCPP賬戶。攻擊者將欺詐取得的合作伙伴賬戶,添加到他們在Azure AD所創(chuàng)建的OAuth應(yīng)用程序注冊中,誘使用戶授給惡意應(yīng)用程序權(quán)限。
該網(wǎng)絡(luò)釣魚攻擊主要影響英國和愛爾蘭的部分用戶,Proofpoint研究人員總共發(fā)現(xiàn)了三個不同的惡意程序發(fā)布者,以及他們所創(chuàng)建的三個惡意應(yīng)用程序,這些惡意應(yīng)用程序鎖定相同的組織,并且與相同的惡意基礎(chǔ)設(shè)施關(guān)聯(lián),已有多個用戶上鉤授權(quán)惡意應(yīng)用程序。
在獲得受害者同意后,惡意云計算應(yīng)用程序默認(rèn)取得委派權(quán)限,使攻擊者可以訪問和操縱受感染用戶關(guān)聯(lián)的電子郵件信箱、日歷和會議邀請,而且因為受害者同意的權(quán)限中,還包括脫機(jī)訪問,因此在同意權(quán)限后不需用戶的互動,便能夠訪問受感染賬戶的資料,受害者的組紡織品牌也可能遭到濫用。
微軟在收到Proofpoint通報后,已經(jīng)下架惡意應(yīng)用程序,停用攻擊者擁有的賬戶,并且主動通知受影響用戶,同時也增加MCPP審查流程的安全措施,避免之后發(fā)生類似的欺詐活動。Proofpoint研究人員則建議,用戶不應(yīng)該僅根據(jù)經(jīng)驗證發(fā)布者狀態(tài)就信任OAuth應(yīng)用程序,應(yīng)該仔細(xì)評估授給第三方應(yīng)用程序訪問權(quán)限的風(fēng)險。