微軟已驗(yàn)證發(fā)布者狀態(tài)遭濫用，誘使被害者授權(quán)惡意云計(jì)算應(yīng)用程序

安全公司Proofpoint研究人員發(fā)現(xiàn)一個(gè)新的同意網(wǎng)絡(luò)釣魚（Consent Phishing）攻擊行動(dòng)，惡意攻擊者濫用微軟已驗(yàn)證發(fā)布者（Verified Publisher）狀態(tài)，誘使受害者授給惡意云計(jì)算應(yīng)用程序權(quán)限，使攻擊者能夠訪問(wèn)用戶資料，并取得電子郵件信箱、日歷和會(huì)議邀請(qǐng)委派權(quán)限。

在這個(gè)新的同意網(wǎng)絡(luò)釣魚攻擊活動(dòng)中，由于攻擊者使用微軟已驗(yàn)證發(fā)布者狀態(tài)，因此當(dāng)惡意第三方OAuth應(yīng)用程序，請(qǐng)求通過(guò)用戶賬戶訪問(wèn)資料時(shí)，增加了用戶被誘騙同意的可能性，研究人員發(fā)現(xiàn)惡意程序所取得的委派權(quán)限（Delegated Permissions）影響極廣，能夠?yàn)g覽用戶的電子郵件、調(diào)整信箱配置，以及訪問(wèn)和賬戶相關(guān)聯(lián)的文件和資料（下圖）。

圖片來(lái)源／Proofpoint

微軟已驗(yàn)證發(fā)布者是指，一個(gè)應(yīng)用程序發(fā)布者經(jīng)由MCPP驗(yàn)證身份，并將該MCPP賬戶和應(yīng)用程序注冊(cè)相關(guān)聯(lián)，所獲得的狀態(tài)。當(dāng)應(yīng)用程序發(fā)布者經(jīng)過(guò)驗(yàn)證時(shí)，在應(yīng)用程序Azure AD同意提示和網(wǎng)頁(yè)中，變會(huì)出現(xiàn)藍(lán)色的已驗(yàn)證徽章。微軟提到，攻擊者通過(guò)冒充合法公司注冊(cè)MCPP賬戶。攻擊者將欺詐取得的合作伙伴賬戶，添加到他們?cè)贏zure AD所創(chuàng)建的OAuth應(yīng)用程序注冊(cè)中，誘使用戶授給惡意應(yīng)用程序權(quán)限。

該網(wǎng)絡(luò)釣魚攻擊主要影響英國(guó)和愛(ài)爾蘭的部分用戶，Proofpoint研究人員總共發(fā)現(xiàn)了三個(gè)不同的惡意程序發(fā)布者，以及他們所創(chuàng)建的三個(gè)惡意應(yīng)用程序，這些惡意應(yīng)用程序鎖定相同的組織，并且與相同的惡意基礎(chǔ)設(shè)施關(guān)聯(lián)，已有多個(gè)用戶上鉤授權(quán)惡意應(yīng)用程序。

在獲得受害者同意后，惡意云計(jì)算應(yīng)用程序默認(rèn)取得委派權(quán)限，使攻擊者可以訪問(wèn)和操縱受感染用戶關(guān)聯(lián)的電子郵件信箱、日歷和會(huì)議邀請(qǐng)，而且因?yàn)槭芎φ咄獾臋?quán)限中，還包括脫機(jī)訪問(wèn)，因此在同意權(quán)限后不需用戶的互動(dòng)，便能夠訪問(wèn)受感染賬戶的資料，受害者的組紡織品牌也可能遭到濫用。

微軟在收到Proofpoint通報(bào)后，已經(jīng)下架惡意應(yīng)用程序，停用攻擊者擁有的賬戶，并且主動(dòng)通知受影響用戶，同時(shí)也增加MCPP審查流程的安全措施，避免之后發(fā)生類似的欺詐活動(dòng)。Proofpoint研究人員則建議，用戶不應(yīng)該僅根據(jù)經(jīng)驗(yàn)證發(fā)布者狀態(tài)就信任OAuth應(yīng)用程序，應(yīng)該仔細(xì)評(píng)估授給第三方應(yīng)用程序訪問(wèn)權(quán)限的風(fēng)險(xiǎn)。