微软于本周警告,黑客正在滥用各种OAuth应用来展开经济动机的自动化攻击,包括滥用用户的资源进行挖矿,执行商业电子邮件诈骗(BEC),或是发送大量垃圾邮件等,且就算黑客失去了访问最初危害账号的权限,也能通过OAuth来维持对各种应用的访问权。
OAuth是个开放身份验证标准,允许第三方服务在未取得用户的凭证下,访问特定用户资源以进行身份验证,例如允许A应用访问B应用的用户资源以取得授权,进而登录服务、访问API或访问云计算服务等。
然而,近来微软威胁情报中心(ThreatIntelligenceCenter)发现,有黑客发动网络钓鱼及密码泼洒攻击,以危害那些未使用强大身份验证机制的用户账号,且这些账号拥有创建或修改OAuth应用的权限。接着黑客滥用了这些具备高权限的OAuth应用来部署虚拟机以开挖加密货币,或是在执行BEC攻击之后创建了长驻能力,也用来展开大规模的垃圾邮件发送活动。
上述恶意行动来自不同的黑客组织,其中,Storm-使用一个遭到危害的用户账号来创建OAuth应用,并部署专门用来挖矿的虚拟机。该名黑客通过VPN登录了盗来的用户账号后,于MicrosoftEntraID中创建了一个OAuth应用,由于该账号具备Azure订阅的所有权角色,让黑客得以利用他人的资源部署虚拟机来挖矿,所使用的计算资源费用介于1万到1.5万美元之间。
另有些黑客组织则是借由发送网络钓鱼邮件以执行AiTM中间人攻击,来窃取会话令牌,再以该令牌来执行会话Cookie重放。之后有的黑客会在危害用户账号之后,进入其Outlook信箱以寻找BEC攻击机会;有的则会通过添加凭证至OAuth应用来维持长驻能力,接着访问MicrosoftGraphAPI资源,来访问邮件或发送大量垃圾邮件。
根据统计,在今年的7月至11月间,黑客使用了许多被危害的账号,在不同的租户中创建了约1.7万个多租户OAuth应用。这些恶意OAuth应用总计发送了超过92.7万封的网络钓鱼邮件,这些恶意的OAuth应用皆已被微软移除。
还有一个被命名为Storm-的黑客组织专门滥用OAuth应用来发送垃圾邮件,Storm-主要通过密码泼洒攻击来取得用户凭证,且大多数受害者并未激活双因素身份验证。
微软针对相关攻击提出了防范建议,包括激活双因素身份验证,激活条件式访问策略,激活持续访问评估,激活安全默认值,激活MicrosoftDefender的自动攻击中断,审核程序与同意的权限,以及保护Azure云计算资源等。
转载请注明:http://www.0431gb208.com/sjszlfa/8459.html
