OAuth釣魚(yú)攻擊讓"檢查鏈接指向"建議失效

微軟警告稱(chēng)，釣魚(yú)攻擊者正在利用OAuth身份驗(yàn)證協(xié)議的內(nèi)置行為將受害者重定向到惡意軟件，使用的鏈接指向合法的身份提供商域名，如Microsoft Entra ID和Google Workspace。這些鏈接看起來(lái)安全，但最終會(huì)導(dǎo)向不安全的目的地。

微軟Defender安全研究團(tuán)隊(duì)在一篇博客文章中寫(xiě)道："OAuth包含一項(xiàng)合法功能，允許身份提供商在特定條件下將用戶重定向到特定的落地頁(yè)面，通常是在錯(cuò)誤場(chǎng)景或其他定義的流程中。攻擊者可以濫用這一原生功能，通過(guò)使用流行的身份提供商（如Entra ID或Google Workspace）制作URL，利用被操縱的參數(shù)或關(guān)聯(lián)的惡意應(yīng)用程序?qū)⒂脩糁囟ㄏ虻焦粽呖刂频穆涞仨?yè)面。"

該公司表示已禁用了與此活動(dòng)相關(guān)的幾個(gè)惡意OAuth應(yīng)用程序，但警告稱(chēng)相關(guān)攻擊活動(dòng)仍在繼續(xù)，需要持續(xù)監(jiān)控。

攻擊從釣魚(yú)郵件開(kāi)始

微軟研究人員在博客文章中寫(xiě)道，攻擊從釣魚(yú)郵件開(kāi)始，觀察到的誘餌包括偽裝成電子簽名請(qǐng)求、人力資源通信、Microsoft Teams會(huì)議邀請(qǐng)和密碼重置警報(bào)，惡意鏈接嵌入在郵件正文或PDF附件中。

該鏈接指向真實(shí)的OAuth授權(quán)端點(diǎn)，但使用故意破壞的參數(shù)構(gòu)建。攻擊者使用"prompt=none"值，請(qǐng)求無(wú)登錄屏幕的靜默身份驗(yàn)證，并將其與無(wú)效的范圍值配對(duì)。這種組合被設(shè)計(jì)為失敗。當(dāng)失敗時(shí)，身份提供商會(huì)將用戶的瀏覽器重定向到攻擊者注冊(cè)的URI。

研究人員在博客文章中寫(xiě)道："盡管這種行為符合標(biāo)準(zhǔn)，但攻擊者可以濫用它，通過(guò)受信任的授權(quán)端點(diǎn)將用戶重定向到攻擊者控制的目的地。"

Greyhound Research首席分析師Sanchit Vir Gogia表示，該技術(shù)代表了攻擊者處理身份方式的結(jié)構(gòu)性轉(zhuǎn)變。他說(shuō)："第一跳是真實(shí)的。瀏覽器行為正確。身份提供商行為正確。信任信號(hào)是真實(shí)的。這將釣魚(yú)從品牌層面的欺騙轉(zhuǎn)移到工作流層面的操縱。"

在微軟在博客文章中詳細(xì)介紹的一次攻擊活動(dòng)中，重定向向受害者的設(shè)備傳送了一個(gè)包含惡意快捷方式文件的ZIP壓縮包。打開(kāi)該文件會(huì)觸發(fā)一個(gè)PowerShell腳本，運(yùn)行偵察命令，最終連接到攻擊者控制的服務(wù)器。微軟將后續(xù)活動(dòng)描述為與勒索軟件前期行為一致。

博客文章詳細(xì)介紹的其他攻擊活動(dòng)將受害者路由到中間人攻擊框架（如EvilProxy）以收集憑據(jù)和會(huì)話cookie。

傳統(tǒng)安全建議已不再有效

IDC亞太區(qū)高級(jí)研究經(jīng)理Sakshi Grover表示，長(zhǎng)期以來(lái)"懸停在鏈接上并驗(yàn)證其域名"的建議是為相似域名時(shí)代構(gòu)建的，在身份驗(yàn)證流程經(jīng)常通過(guò)受信任的身份提供商的環(huán)境中不再適用。

她說(shuō)："組織應(yīng)該將意識(shí)信息從'檢查鏈接'轉(zhuǎn)變?yōu)?驗(yàn)證上下文'。應(yīng)該培訓(xùn)員工質(zhì)疑身份驗(yàn)證請(qǐng)求是否是預(yù)期的，是否與當(dāng)前業(yè)務(wù)活動(dòng)一致，以及應(yīng)用程序請(qǐng)求的權(quán)限是否合理。"

Gogia表示，企業(yè)需要更進(jìn)一步，完全改變底層行為。他說(shuō)："永遠(yuǎn)不要從未經(jīng)請(qǐng)求的入站鏈接啟動(dòng)身份驗(yàn)證過(guò)程。身份驗(yàn)證應(yīng)該從受控的起點(diǎn)開(kāi)始，而不是從電子郵件觸發(fā)器開(kāi)始。"他補(bǔ)充說(shuō)，必須使報(bào)告意外登錄過(guò)程變得無(wú)摩擦，報(bào)告速度比個(gè)人判斷的信心更有價(jià)值。

兩位分析師都指出，OAuth應(yīng)用程序治理是此次攻擊活動(dòng)利用的更深層次的結(jié)構(gòu)性缺口。

IDC的Grover表示，企業(yè)的治理成熟度仍然參差不齊。她說(shuō)："廣泛的默認(rèn)同意設(shè)置和對(duì)重定向URI的有限監(jiān)控仍然很常見(jiàn)，特別是在云和SaaS采用速度超過(guò)身份治理控制的環(huán)境中。"

根據(jù)Greyhound Research的Gogia的說(shuō)法，問(wèn)題的規(guī)模很容易被低估。他說(shuō)："每個(gè)SaaS集成、自動(dòng)化工作流和協(xié)作工具都可能需要應(yīng)用程序注冊(cè)。隨著時(shí)間的推移，租戶會(huì)累積數(shù)百或數(shù)千個(gè)注冊(cè)應(yīng)用程序。重定向URI在設(shè)置期間配置，很少重新審查。遙測(cè)數(shù)據(jù)存在，但缺乏解釋。"

微軟在博客文章中表示，組織應(yīng)該限制用戶對(duì)第三方OAuth應(yīng)用程序的同意，定期審核應(yīng)用程序權(quán)限，并刪除未使用或權(quán)限過(guò)高的應(yīng)用程序。該文章還公布了16個(gè)與威脅行為者的惡意應(yīng)用程序相關(guān)的客戶端ID，以及作為入侵指標(biāo)的初始重定向URL列表。文章中包含了針對(duì)Microsoft Defender XDR客戶的KQL搜索查詢，以幫助識(shí)別跨電子郵件、身份和端點(diǎn)信號(hào)的相關(guān)活動(dòng)。

Gogia警告說(shuō)，只要企業(yè)不解決這些缺口，該技術(shù)就會(huì)一直有效。他說(shuō)："它不需要破解加密。它需要利用管理上的自滿。"

本文首次發(fā)表于CSOonline。

Q&A

Q1：OAuth釣魚(yú)攻擊是如何繞過(guò)傳統(tǒng)安全檢查的？

A：攻擊者利用OAuth協(xié)議的合法重定向功能，使用指向Microsoft Entra ID或Google Workspace等真實(shí)身份提供商的鏈接，通過(guò)故意破壞的參數(shù)（如"prompt=none"配合無(wú)效范圍值）觸發(fā)失敗，然后將用戶重定向到攻擊者控制的惡意頁(yè)面。由于第一跳鏈接是真實(shí)的，傳統(tǒng)的"檢查鏈接指向"方法無(wú)法識(shí)別這種攻擊。

Q2：企業(yè)應(yīng)該如何防范OAuth釣魚(yú)攻擊？

A：企業(yè)應(yīng)該限制用戶對(duì)第三方OAuth應(yīng)用程序的同意權(quán)限，定期審核應(yīng)用程序權(quán)限并刪除未使用或權(quán)限過(guò)高的應(yīng)用程序。同時(shí)要培訓(xùn)員工從"檢查鏈接"轉(zhuǎn)變?yōu)?驗(yàn)證上下文"，質(zhì)疑身份驗(yàn)證請(qǐng)求是否預(yù)期、是否與當(dāng)前業(yè)務(wù)活動(dòng)一致。更重要的是，不要從未經(jīng)請(qǐng)求的郵件鏈接啟動(dòng)身份驗(yàn)證，而應(yīng)從受控的起點(diǎn)開(kāi)始。

Q3：OAuth應(yīng)用程序治理存在哪些問(wèn)題？

A：主要問(wèn)題包括廣泛的默認(rèn)同意設(shè)置、對(duì)重定向URI的監(jiān)控有限，以及企業(yè)累積了大量注冊(cè)應(yīng)用程序但缺乏有效管理。隨著云和SaaS采用速度超過(guò)身份治理控制，許多企業(yè)的治理成熟度參差不齊。重定向URI通常在設(shè)置時(shí)配置后很少重新審查，雖然遙測(cè)數(shù)據(jù)存在但缺乏有效解釋。