微軟發出警告：針對使用無密碼 “登錄” 功能的 OAuth 攻擊

基于應用程序的攻擊正在上升，這些攻擊使用的是云服務常見的無密碼“登錄……”功能。

微軟警告說，在遠程工作的廣泛普及和協作應用程序使用的大背景下，攻擊者正在加強利用OAuth 2.0的基于應用程序的攻擊。

OAuth是一個用于訪問授權的開放標準，通常用于人們在不輸入密碼的情況下登錄到服務中——在另一個受信任的服務或網站上使用登錄狀態。最明顯的例子可能是“用谷歌登錄”或“用Facebook登錄”，許多網站使用它們來代替要求訪問者創建一個新賬戶。這些“登錄”或“登錄”提示被稱為“同意提示”。

微軟合伙人小組PM經理Agnieszka Girling表示，同意網絡釣魚，一種基于應用程序的攻擊形式利用OAuth，正在上升。

她在本周的博客中解釋道：“攻擊者就是在這里欺騙用戶，讓惡意應用程序訪問敏感數據或其他資源。”“攻擊者不是試圖竊取用戶的密碼，而是尋求允許一個攻擊者控制的應用訪問有價值的數據。”

當攻擊者向OAuth 2.0提供商注冊一個惡意應用程序，比如微軟自己的Azure Active Directory時，攻擊就開始了。

“應用程序的配置使其看起來值得信賴，就像使用在同一生態系統中使用的流行產品的名稱一樣，” Girling解釋說。攻擊者可以通過破壞非惡意網站或其他技術，在用戶面前建立鏈接，這可以通過基于電子郵件的常規網絡釣魚來完成。用戶單擊該鏈接，并顯示一個真實的同意提示，要求他們授予惡意應用程序對數據的權限。”

如果用戶單擊“接受”，他們將授予錯誤的應用程序訪問其憑據和其他潛在敏感數據的權限。

Girling解釋說：“該應用程序獲得了一個授權碼，它可以用來兌換訪問令牌和刷新令牌。” “訪問令牌用于代表用戶進行API調用。如果用戶接受，則攻擊者可以訪問他們的郵件，轉發規則，文件，聯系人，便箋，配置文件和其他敏感數據和資源。”

用戶可以通過確保所登錄的任何應用程序實際上都是合法的來保護自己。他們還可以應用基本的網絡釣魚意識策略，例如在原始電子郵件中查找拼寫錯誤和語法錯誤。此外，應用程序名稱和域名URL可以提供紅色標記。

“攻擊者喜歡通過偽造來欺騙應用程序名稱，使其看起來來自合法應用程序或公司，但迫使你同意使用惡意應用程序。” Girling說。“在同意申請之前，請確保您識別出應用名稱和域名URL。”

Girling警告說，隨著遠程工作的繼續進行以及Zoom，Webex Teams，Box和Microsoft Teams等協作應用程序無處不在，用戶越來越習慣于云應用程序并使用OAuth功能進行登錄。

她說：“全球大流行極大地改變了人們的工作方式。” “結果，全世界的組織都在擴大云服務，以支持在家中的協作和工作效率…隨著云應用程序使用的增加以及在家工作的轉變，安全性以及員工如何訪問公司資源成為公司的頭等大事。