黑客瞄准Microsoft帐户来武器化OAuth应用程序

威胁行为者正在滥用组织的弱身份验证实践来创建和利用 OAuth应用程序，通常是为了经济利益，通过包括加密货币挖矿、网络钓鱼和密码喷洒等各种媒介的一系列攻击。

OAuth 是一种开放式身份验证标准，越来越多地被用于跨平台访问；用户在登录网站时会发现它，并提示点击链接以使用另一个社交媒体帐户登录，例如“使用 Facebook 登录”或“使用 Google 登录”。OAuth 使应用程序能够根据用户设置的权限访问其他在线服务和站点的数据和资源，它是负责站点之间身份验证切换的机制。

研究人员透露，微软威胁情报观察到一系列攻击，这些攻击损害了微软服务的用户帐户，以创建、修改 OAuth 应用程序并为其授予高权限，从而允许他们将这些应用程序用作恶意活动的“自动化工具”在本周发表的一篇博客文章中。他们表示，攻击者还利用 OAuth 身份验证标准来维持对应用程序的访问，即使他们失去了对最初受损帐户的访问权限。

威胁行为者滥用具有高权限的 OAuth 应用程序来部署虚拟机 (VM) 进行加密货币挖掘，在商业电子邮件泄露 (BEC) 后建立持久性，并使用目标组织的资源和域名发起垃圾邮件活动。

研究人员描述了几种以新颖方式滥用 OAuth 的攻击。在大多数情况下，受感染的帐户没有启用多重身份验证 (MFA)，因此很容易成为攻击者的目标，攻击者使用撞库、网络钓鱼和反向**网络钓鱼等策略来获取对帐户的恶意访问权限。

使用和滥用OAuth

Microsoft 威胁情报研究人员观察到三种特定的攻击类型 – 加密货币挖矿、商业电子邮件泄露 (BEC)/网络钓鱼和密码喷洒/垃圾邮件 – 这些攻击类型滥用 OAuth 以各种方式进行恶意活动。

在 Microsoft 追踪为 Storm-1283 的威胁参与者所使用的一个向量中，攻击者使用受感染的 Azure 用户帐户创建 OAuth 应用程序并部署虚拟机 (VM) 进行加密挖掘。目标组织因恶意活动而产生了 10,000 至 150 万美元的计算费用，攻击者在发起初始攻击后返回账户部署更多加密货币挖矿虚拟机。

攻击者还破坏用户帐户来创建用于 BEC 和网络钓鱼攻击的 OAuth 应用程序，研究人员观察到威胁参与者破坏了用户帐户并创建 OAuth 应用程序以维持持久性并启动电子邮件网络钓鱼活动。

在此向量中，攻击者使用中间对手 (AitM) 网络钓鱼工具包，向多个组织中的目标用户帐户发送大量具有不同主题行和 URL 的电子邮件，并使用指向**服务器的恶意 URL促进真实的身份验证过程。如果用户上当并登录，威胁参与者就会从用户的会话 cookie 中窃取令牌，然后使用它来执行会话 cookie 重放活动。

研究人员表示，在某些情况下，攻击者还会在微软 Outlook Web 应用程序中搜索电子邮件附件中的特定关键字，例如“付款”和“发票” ，以对未来的 BEC 活动进行侦察。

在其他情况下，威胁行为者不是进行 BEC 侦察，而是在重放被盗会话 cookie 后创建多租户 OAuth 应用程序，使用这些应用程序来维护持久性、添加新凭据，然后访问 Microsoft Graph API 资源以读取电子邮件或发送网络钓鱼电子邮件。

在第三次独特的攻击中，微软跟踪的 Storm-1286 威胁参与者通过密码喷射攻击对受感染的用户帐户进行了大规模垃圾邮件活动。据 Microsoft Threat Intelligence 称，攻击者利用 Azure PowerShell 或基于 Swagger Codegen 的客户端侵入用户帐户，在目标组织中创建一到三个新的 OAuth 应用程序，从而向允许控制帐户邮箱的应用程序授予许可。从那里，攻击者每天会使用受感染的用户帐户和组织域发送数千封电子邮件。

MFA 和其他缓解措施

OAuth 自 2007 年开始使用，由于各种原因给组织带来了风险，攻击者可以通过多种方式滥用它。安全研究人员发现其实施中存在缺陷，导致Booking.com等关键在线服务平台受到攻击。与此同时，其他人使用他们创建的恶意 OAuth 应用程序来破坏 Microsoft Exchange 服务器。

微软表示，在使用 OAuth 时，组织减少攻击面的一个关键步骤主要是保护其身份基础设施。研究人员表示，实现这一目标的一种简单方法是采用多因素身份验证（MFA），因为它的使用将“大大减少”最近观察到的攻击中的帐户泄露。

为了加强身份验证并减少基于 OAuth 的攻击成功的机会，组织可以采取的一个步骤包括启用条件访问 (CA) 策略，该策略在用户每次尝试登录帐户时评估并强制执行规则。另一个是在已部署的 Microsoft 应用程序（例如 Azure Active Directory）中启用安全默认设置。

该帖子称，审核整个组织的应用程序和同意的权限，以确保应用程序仅访问必要的数据并遵守最小特权原则，也可用于防御 OAuth 攻击。