微軟已驗證發(fā)布者狀態(tài)遭濫用,誘使被害者授權(quán)惡意云計算應(yīng)用程序

來源:十輪網(wǎng)
作者:十輪網(wǎng)
時間:2023-02-03
1387
安全公司Proofpoint研究人員發(fā)現(xiàn)一個新的同意網(wǎng)絡(luò)釣魚(Consent Phishing)攻擊行動,惡意攻擊者濫用微軟已驗證發(fā)布者(Verified Publisher)狀態(tài),誘使受害者授給惡意云計算應(yīng)用程序權(quán)限,使攻擊者能夠訪問用戶資料,并取得電子郵件信箱、日歷和會議邀請委派權(quán)限。

the_dangerous_consequences_of_threat_actors_abusing_microsofts_ver.jpg

安全公司Proofpoint研究人員發(fā)現(xiàn)一個新的同意網(wǎng)絡(luò)釣魚(Consent Phishing)攻擊行動,惡意攻擊者濫用微軟已驗證發(fā)布者(Verified Publisher)狀態(tài),誘使受害者授給惡意云計算應(yīng)用程序權(quán)限,使攻擊者能夠訪問用戶資料,并取得電子郵件信箱、日歷和會議邀請委派權(quán)限。

在這個新的同意網(wǎng)絡(luò)釣魚攻擊活動中,由于攻擊者使用微軟已驗證發(fā)布者狀態(tài),因此當(dāng)惡意第三方OAuth應(yīng)用程序,請求通過用戶賬戶訪問資料時,增加了用戶被誘騙同意的可能性,研究人員發(fā)現(xiàn)惡意程序所取得的委派權(quán)限(Delegated Permissions)影響極廣,能夠瀏覽用戶的電子郵件、調(diào)整信箱配置,以及訪問和賬戶相關(guān)聯(lián)的文件和資料(下圖)。

0201-Consent-Phishing-by-Proofpoint.jpg

圖片來源/Proofpoint

微軟已驗證發(fā)布者是指,一個應(yīng)用程序發(fā)布者經(jīng)由MCPP驗證身份,并將該MCPP賬戶和應(yīng)用程序注冊相關(guān)聯(lián),所獲得的狀態(tài)。當(dāng)應(yīng)用程序發(fā)布者經(jīng)過驗證時,在應(yīng)用程序Azure AD同意提示和網(wǎng)頁中,變會出現(xiàn)藍(lán)色的已驗證徽章。微軟提到,攻擊者通過冒充合法公司注冊MCPP賬戶。攻擊者將欺詐取得的合作伙伴賬戶,添加到他們在Azure AD所創(chuàng)建的OAuth應(yīng)用程序注冊中,誘使用戶授給惡意應(yīng)用程序權(quán)限。

該網(wǎng)絡(luò)釣魚攻擊主要影響英國和愛爾蘭的部分用戶,Proofpoint研究人員總共發(fā)現(xiàn)了三個不同的惡意程序發(fā)布者,以及他們所創(chuàng)建的三個惡意應(yīng)用程序,這些惡意應(yīng)用程序鎖定相同的組織,并且與相同的惡意基礎(chǔ)設(shè)施關(guān)聯(lián),已有多個用戶上鉤授權(quán)惡意應(yīng)用程序。

在獲得受害者同意后,惡意云計算應(yīng)用程序默認(rèn)取得委派權(quán)限,使攻擊者可以訪問和操縱受感染用戶關(guān)聯(lián)的電子郵件信箱、日歷和會議邀請,而且因為受害者同意的權(quán)限中,還包括脫機(jī)訪問,因此在同意權(quán)限后不需用戶的互動,便能夠訪問受感染賬戶的資料,受害者的組紡織品牌也可能遭到濫用。

微軟在收到Proofpoint通報后,已經(jīng)下架惡意應(yīng)用程序,停用攻擊者擁有的賬戶,并且主動通知受影響用戶,同時也增加MCPP審查流程的安全措施,避免之后發(fā)生類似的欺詐活動。Proofpoint研究人員則建議,用戶不應(yīng)該僅根據(jù)經(jīng)驗證發(fā)布者狀態(tài)就信任OAuth應(yīng)用程序,應(yīng)該仔細(xì)評估授給第三方應(yīng)用程序訪問權(quán)限的風(fēng)險。

立即登錄,閱讀全文
原文鏈接:點擊前往 >
文章來源:十輪網(wǎng)
版權(quán)說明:本文內(nèi)容來自于十輪網(wǎng),本站不擁有所有權(quán),不承擔(dān)相關(guān)法律責(zé)任。文章內(nèi)容系作者個人觀點,不代表快出海對觀點贊同或支持。如有侵權(quán),請聯(lián)系管理員(zzx@kchuhai.com)刪除!
優(yōu)質(zhì)服務(wù)商推薦
更多