資安公司Proofpoint研究人員發現一個新的同意網路釣魚(Consent Phishing)攻擊行動,惡意攻擊者濫用微軟已驗證發布者(Verified Publisher)狀態,誘使受害者授予惡意雲端應用程式權限,使攻擊者能夠存取用戶資料,並取得電子郵件信箱、日曆和會議邀請委派權限。

在這個新的同意網路釣魚攻擊活動中,由於攻擊者使用微軟已驗證發布者狀態,因此當惡意第三方OAuth應用程式,請求透過使用者帳戶存取資料時,增加了用戶被誘騙同意的可能性,研究人員發現惡意程式所取得的委派權限(Delegated Permissions)影響極廣,能夠瀏覽使用者的電子郵件、調整信箱配置,以及存取和帳戶相關連的檔案和資料(下圖)。

圖片來源/Proofpoint

微軟已驗證發布者是指,一個應用程式發布者經由MCPP驗證身份,並將該MCPP帳戶和應用程式註冊相關聯,所獲得的狀態。當應用程式發布者經過驗證時,在應用程式Azure AD同意提示和網頁中,變會出現藍色的已驗證徽章。微軟提到,攻擊者透過冒充合法公司註冊MCPP帳戶。攻擊者將詐欺取得的合作夥伴帳戶,添加到他們在Azure AD所創建的OAuth應用程式註冊中,誘使用戶授予惡意應用程式權限。

該網路釣魚攻擊主要影響英國和愛爾蘭的部分用戶,Proofpoint研究人員總共發現了三個不同的惡意程式發布者,以及他們所創建的三個惡意應用程式,這些惡意應用程式鎖定相同的組織,並且與相同的惡意基礎設施關聯,已有多個用戶上鉤授權惡意應用程式。

在獲得受害者同意後,惡意雲端應用程式預設取得委派權限,使攻擊者可以存取和操縱受感染用戶關聯的電子郵件信箱、日曆和會議邀請,而且因為受害者同意的權限中,還包括離線存取,因此在同意權限後不需使用者的互動,便能夠存取受感染帳戶的資料,受害者的組織品牌也可能遭到濫用。

微軟在收到Proofpoint通報後,已經下架惡意應用程式,停用攻擊者擁有的帳戶,並且主動通知受影響用戶,同時也增加MCPP審查流程的安全措施,避免之後發生類似的詐欺活動。Proofpoint研究人員則建議,使用者不應該僅根據經驗證發布者狀態就信任OAuth應用程式,應該仔細評估授予第三方應用程式存取權限的風險。

熱門新聞

Advertisement