微软验证系统的威胁：黑客利用OAuth应用攻击云环境

关键要点

• 黑客利用微软的第三方应用验证流程，针对商业和金融行业的高管进行攻击。
• 恶意应用伪装成合法的OAuth程序，获取用户对其账户的权限。
• 这些恶意应用可能导致数据泄露、品牌被冒用和商务电子邮件诈骗等风险。
• 微软的验证系统已多次被黑客利用，风险依然存在。

根据显示，黑客正在利用微软的第三方应用验证流程，针对商业和金融环境中的高管进行攻击。

这场新的威胁活动滥用了微软的“验证发布者”状态，以满足该公司对分发的要求，诱导用户授权恶意应用。这些应用因得到微软的真实性验证印章，能通过侵入性的数据请求欺骗依赖它们的用户，进而访问用户账户的敏感信息。

研究人员指出，一旦用户点击了同意提示，恶意行为者就能获取阅读他们电子邮件、调整邮箱设置及访问其他微软账户部分的能力。

此外，组织还可能更加脆弱，面临其他严重后果，包括数据外泄、品牌被冒用及商务电子邮件诈骗。

Proofpoint的研究者Assaf Freidman、David Krispin和EilonBendet表示：“这一攻击采用的形式比传统的目标钓鱼或暴力攻击更不易被发现，因为组织通常对利用验证OAuth应用的黑客防范程度较低。”

从12月6日起，Proofpoint识别出三个伪装成合法OAuth程序的恶意应用，每个应用都是由不同的发布者创建的。该活动主要针对位于英国的组织和金融、市场营销领域的用户，以及管理人员和高管。Proofpoint的一位发言人告诉SCMedia，他们还发现了一些非英国的受害者。

微软在2020年推出了发布者验证功能，作为对日益增加的基于应用攻击的回应，声称验证的应用能够证明它来自“一个真实的来源”。由于客户对这一能力的信任，恶意的验证应用能够轻易地欺骗客户。

Proofpoint的研究表明，至少一些威胁行为者已经进化到利用这一信任体系来感染用户账户。

这三款恶意程序都是云登录或认证应用，虽然没有直接模仿Zoom，但使用了一些标识，例如较旧的Zoom标志、相似的Zoom网址，以及一个真实的Zoom域名，结合微软的验证状态，足以轻易欺骗用户，使其相信这是一个可信的程序。

然而，Proofpoint的研究并未明确为何恶意应用能够通过微软的验证筛选。一位微软发言人告知SCMedia，该公司已禁用所有三款恶意应用，并通知“有限数量的受影响客户”。

随着恶意应用的封锁，Proofpoint表示不期待看到该特定活动造成更多账户受到影响，但这为其他攻击者提供了概念证明。

Proofpoint发言人还在一封邮件中表示：“未来可能会发现针对其他地区账户的类似活动。因此，我们认为有必要对这一新威胁提前进行警告。”

这并不是第一次微软的新验证系统被黑客利用。在中，Proofpoint研究人员发现黑客通过妥协现有的微软验证发布者来滥用OAuth应用权限。与之前的攻击策略相比，研究人员指出这一新方法以可靠发布者的身份进行验证并传播恶意OAuth应用，增加了其可信度。

该报告解释道：“每个恶意应用所显示的发布者名称（例如：‘AcmeLLC’）与现有合法发布者的名称相似。‘验证发布者’的名称被隐藏且不同于显示名称（例如：‘Acme Holdings LLC’而非‘AcmeLLC’）。”在获取验证发布者ID后，威胁者在每款应用中添加了指向其所冒充组织网站的“服务条款”和“政策声明”链接。显然，这增加了可信