Microsoft 最近发现了一系列复杂的钓鱼攻击,这些攻击利用了 OAuth 2.0 协议的内置重定向机制。威胁行为者针对政府和公共部门组织,通过操纵 Microsoft Entra ID 和 Google Workspace 中的合法身份验证流程来实施攻击。
攻击机制
攻击序列始于威胁行为者在其租户中创建一个恶意应用程序,并将重定向 URI 设置为托管恶意软件或钓鱼框架的域。威胁行为者随后通过社会工程诱饵大规模分发钓鱼邮件,例如电子签名请求、假冒的 Microsoft Teams 会议邀请或密码重置。
当受害者点击提供的链接时,它会触发一个静默的 OAuth 授权流程。攻击者通过使用 prompt=none 和故意提供无效范围(如 scope=invalid)来操纵 URL 参数。这种组合迫使身份提供者评估会话并自动触发错误重定向,而不会显示任何用户界面或交互式提示。
由于受信任的身份提供者处理了重定向,初始 URL 对用户和安全扫描器来说显得非常合法。
恶意软件分发
Microsoft 还发现,恶意软件分发活动中,重定向触发了 ZIP 文件的自动下载。此存档通常包含一个恶意快捷方式文件,该文件通过 PowerShell 执行主机侦察。脚本随后提取并启动一个合法的二进制文件(steam_monitor.exe),以侧加载恶意 DLL(crashhandler.dll),成功建立外部命令和控制连接。
缓解措施和威胁标识符
此活动强调了一类基于身份的威胁,这些威胁利用标准协议行为而不是软件漏洞。OAuth 规范,包括 RFC 6749 和 RFC 9700,明确定义了如何通过重定向处理授权错误。RFC 9700 的第 4.11.2 节特别警告,对手可以故意触发 OAuth 错误以强制执行开放重定向。
为了防御这些滥用行为,组织必须实施严格的 OAuth 监管,并利用跨域扩展检测和响应 (XDR) 功能。安全团队应积极搜索包含无效 OAuth 范围参数的 URL 点击事件,并监控 OAuth 错误重定向后的异常负载下载。
缓解措施
- 应用程序治理: 限制用户对 OAuth 应用程序的同意,并定期审核过度特权的应用程序。
- 访问控制: 实施条件访问策略,并严格执行身份保护措施。
- 遥测监控: 部署跨域 XDR 以关联电子邮件、身份和端点信号。
- 行为检测: 搜索涉及快捷方式提取和意外 DLL 侧加载的 PowerShell 执行。
关键指标
| 检测类型 | 指示器/组件 | 详情 |
|---|---|---|
| URL 参数 | prompt=none, scope=invalid | 用于触发静默身份验证错误 |
| 文件工件 | steam_monitor.exe, crashhandler.dll, crashlog.dat | 用于恶意 DLL 侧加载的组件 |
| Defender Antivirus | Trojan:Win32/Malgent, Trojan:Win32/Znyonm, Trojan:Win32/WinLNK | 相关恶意软件负载的 Defender 签名 |
| 错误代码 | Error 65001, error=interaction_required | 表示失败的静默 SSO 和成功的重定向 |
元記事: https://gbhackers.com/microsoft-alerts-customers-to-new-phishing-attack/