一般网络钓鱼攻击是骗取受害者连到假冒的网站以骗取其帐密。安全公司近日发现一波攻击行动,黑客利用恶意Office 365 App,不需取得帐密就可登录用户的账号,且传统变更密码及双重验证皆无法防堵此类攻击。
安全公司PhishLabs首先发现,攻击者发送包含假冒公司内部SharePoint和OneDrive文件分享连接的网络钓鱼信件,企图利用社交工程骗取用户点入。
其实早在2017年就有黑客利用类似手法,不过当时连接目的地为Google Docs。2017年的网络钓鱼攻击结合OAuth验证接口,在用户接到连接还来不及意会过来时,就在要求以Google Docs访问Gmail账号的对话框中按下“允许”,使外部人士取得受害者Gmail内容及联系人访问权,无需账号密码。虽然Google很快就移除了钓鱼Google Docs,但估计有超过50万人受到影响。
冒充Office 365服务则是前所未见。受害者收到的信件内有一个Excel文件分享连接邀请用户前往,主机名为login.microsoftonline.com且由微软管控。点下去后用户如果之前没有登录Office 365,即会出现合法的微软登录页面。用户登录后会跳出一个Office 365插件(add-in)App要求访问权的对话框,这个App要求访问用户数据、联系人、登录个人数据页、读取邮件、读取所有OneNote笔记,读写邮件设置,还要能访问所有用户看得到的文件。只要按下对话框中的“接受”,该App就可以无碍访问用户所有信件内容、联系人、OneDrive上的文件等,完全无需账号密码。
研究人员指出,黑客是利用Office 365 Outlook可使用插件的功能得逞。这另一个原因是,微软允许Office 365插件和Office 365 App不需上架Office Store就可侧载(side load)借此回避任何安全审查。本例中,让黑客远程发送恶意App取得用户Office 365云计算服务中所有数据,并利用SAML或OAuth协议,访问在单一签入体系统的其他系统。
分析发现,该插件程序是在去年11月底利用一家合法公司信息创建,可能是该公司之前被黑入,而让黑客得以用开发人员账号来开发恶意插件程序。
研究人员说,用户发现后即使变更账号密码也没用,必须将该恶意插件程序和账号的连接才能防止数据外泄。
为避免日后再有类似的社交工程网络钓鱼信件,除了安装邮件安全软件外,安全公司建议管理员限制Office 365用户安装非官方Office Store或白名单以外的App的权利。同时也应加强用户安全教育及公司应变措施。研究人员强调,传统清除病毒、变更密码或启动双重验证等措施,并无法遏止这类攻击。