安全公司Proofpoint研究人员发现一个新的同意网络钓鱼(Consent Phishing)攻击行动,恶意攻击者滥用微软已验证发布者(Verified Publisher)状态,诱使受害者授给恶意云计算应用程序权限,使攻击者能够访问用户资料,并取得电子邮件信箱、日历和会议邀请委派权限。
在这个新的同意网络钓鱼攻击活动中,由于攻击者使用微软已验证发布者状态,因此当恶意第三方OAuth应用程序,请求通过用户账户访问资料时,增加了用户被诱骗同意的可能性,研究人员发现恶意程序所取得的委派权限(Delegated Permissions)影响极广,能够浏览用户的电子邮件、调整信箱配置,以及访问和账户相关联的文件和资料(下图)。
图片来源/Proofpoint
微软已验证发布者是指,一个应用程序发布者经由MCPP验证身份,并将该MCPP账户和应用程序注册相关联,所获得的状态。当应用程序发布者经过验证时,在应用程序Azure AD同意提示和网页中,变会出现蓝色的已验证徽章。微软提到,攻击者通过冒充合法公司注册MCPP账户。攻击者将欺诈取得的合作伙伴账户,添加到他们在Azure AD所创建的OAuth应用程序注册中,诱使用户授给恶意应用程序权限。
该网络钓鱼攻击主要影响英国和爱尔兰的部分用户,Proofpoint研究人员总共发现了三个不同的恶意程序发布者,以及他们所创建的三个恶意应用程序,这些恶意应用程序锁定相同的组织,并且与相同的恶意基础设施关联,已有多个用户上钩授权恶意应用程序。
在获得受害者同意后,恶意云计算应用程序默认取得委派权限,使攻击者可以访问和操纵受感染用户关联的电子邮件信箱、日历和会议邀请,而且因为受害者同意的权限中,还包括脱机访问,因此在同意权限后不需用户的互动,便能够访问受感染账户的资料,受害者的组纺织品牌也可能遭到滥用。
微软在收到Proofpoint通报后,已经下架恶意应用程序,停用攻击者拥有的账户,并且主动通知受影响用户,同时也增加MCPP审查流程的安全措施,避免之后发生类似的欺诈活动。Proofpoint研究人员则建议,用户不应该仅根据经验证发布者状态就信任OAuth应用程序,应该仔细评估授给第三方应用程序访问权限的风险。