打开授权或“OAuth”应用程序将业务功能和用户界面增强添加到Microsoft 365和Google Workspace等主要云平台上。不幸的是,他们也是一个新的威胁向量,因为糟糕的演员越来越多地使用恶意OAuth 2.0应用程序(或云恶意软件)到Siphon数据和访问敏感信息。在2020年,校对点检测到超过180个不同的恶意应用,攻击超过55%的客户成功率为22%。
我们已经观察到许多形式的OAuth令牌钓鱼攻击和OAuth程序滥用,是攻击者进行侦察、发起员工对员工攻击、窃取云平台文件和邮件的理想场所。恶意应用程序攻击的目标通常是副总裁、客户经理、人力资源代表和首席财务官的账户——这类用户可以访问高度敏感的数据。10bet十搏欧洲杯首页如果成功,攻击者将获得对电子邮件(包括读取、写入、发送和设置邮箱规则)、文件、联系人、笔记、Microsoft Teams聊天等的持久和独立访问。在某些情况下,它们会在用户同意应用程序后将用户重定向到钓鱼网站。
2020年恶意OAuth应用程序
在2020年,攻击者使用了许多技术,例如应用程序模拟方法(如同形组织和徽标或域名模拟)和诱惑(如COVID-19、邮件隔离和同行的办公室审查)。这些复杂的攻击甚至依赖微软的平台来生成对恶意应用程序同意页面的邀请。
微软,为控制日益严重的恶意第三方应用问题,发起了一项出版商验证机制——而且收效甚微。事实上,Proofpoint的研究人员已经观察到不良行为者在被妥协的租户中创建应用程序,以绕过这个验证过程。他们使用租户的可信身份来广泛分发恶意应用程序。
Microsoft身份验证应用程序发布者如何?
微软在2020年底意识到,认证应用发布者可以在帮助减轻恶意OAuth应用威胁方面发挥重要作用。因此,它创建了发布者验证机制,为最终用户提供应用程序发布者的可信度因素。这个过程将发布者绑定到一个验证过程中:
- 出版商必须是有效的Microsoft合作伙伴网络成员。
- 发布者的帐户必须是经过验证的租户(包括列出的发布者域)的一部分。
- 出版商必须同意“微软开发者身份平台”的使用条款。
微软还会检查租户账单和活动。从攻击者的角度来看,整个验证过程是一个复杂而无利可图的过程。
除了为来自已验证发布者的应用程序在同意屏幕上放置验证标识外,微软还添加了一个策略,允许管理员阻止用户同意来自未验证发布者的应用程序。此外,2020年11月8日之后发布的应用程序,如果发布者没有经过验证,会附带一个同意屏幕警告,而且租户策略允许同意。
微软是否成功停止恶意oauth应用程序?
短答:不。虽然发布者验证大大减少了云恶意软件的活动,但威胁尚未完全减轻。忠实的形式,攻击者改变了他们的策略。现在,他们首先在可信的租户中妥协账户。然后,他们正在从内部创建,托管和传播云恶意软件。
云帐户泄露是一个广泛的问题,95%的云租户都是一个或多个活动的目标超过50%的租户受到损害。
妥协后的活动至关重要。攻击者通过电子邮件和文件访问敏感信息,植入恶意软件,泄露数据,通过邮件进行横向移动,滥用应用程序,以低占用空间实现持久性。有时,攻击者会在受威胁的租户中创建应用程序,使用其身份绕过微软的发布者验证,广泛共享应用程序。
攻击者如何在可信的云租户中创建恶意应用程序
攻击者首先会创建他们的恶意代码,并将其托管在一个web服务器上,通过一个URL(恶意应用程序URL)访问。在危及目标云帐户后,攻击者然后在Azure门户的“应用注册”部分创建一个应用程序,将应用程序标记为“多租户应用程序”,使用“Web”设置,将其代码的恶意URL添加到应用程序中。由于恶意代码需要访问权限到资源,攻击者在“API权限”选项卡下添加了“应用程序”页面上的相关权限。10bet十搏欧洲杯首页
图1:攻击者如何在可信的云租户中创建恶意应用程序
攻击者还可以使用以下CLI命令创建应用程序:
“清单。Json”文件包含了应用程序所需的作用域。例如,添加“mail”。阅读”和“邮件。发送权限需要以下JSON:
创建刷新令牌需要“offline_access”权限,这意味着用户不参与为应用程序创建访问令牌。
一旦此活动完成,否则攻击账户中不需要进一步的行动项目,除非攻击者希望代表攻击的账户所有者同意申请。广泛分发应用程序将需要URL到申请同意页面。这需要应用程序(客户端)ID和恶意应用程序URL:
攻击者可以使用此链接作为钓鱼式攻击,ClickJacking和其他攻击类型迫使用户同意应用程序。一旦攻击的用户同意应用程序,攻击者就可以代表用户生成OAuth2.0访问令牌并访问允许的资源。10bet十搏欧洲杯首页
此活动不仅绕过了发布者验证机制,而且还使识别恶意应用程序更加困难。这是因为租户的可信度不再被用作评估应用程序时的关键参数。对于帐户所有者,信任应用程序发布者不再足够。
在我们监控的数千名租户中,Proofpoint已经检测到有几个租户托管了一个或多个恶意的OAuth应用程序,影响了多个其他租户。
外带和建议:
- 使用微软的“验证发布者”策略。虽然一些可信的租户托管恶意应用程序,但不可信的租户托管绝大多数云恶意程序。
- 决定谁可以创建应用程序。Microsoft允许管理员阻止非管理员用户创建具有策略的应用程序。这应该降低攻击者损害非管理员帐户的风险并在租户环境中创建应用程序。但是,如果应用程序创建活动在您的组织内很常见,它也可以在管理员上创建过载。
- 减少攻击表面:
- 除非有需要,否则不同意任何申请。
- 检查应用程序请求的权限。
- 检查应用程序的源代码。
- 不断撤销未使用的应用程序。
- 审查来自每个来源的所有应用程序的授权后活动。
Proofpoint如何提供帮助?
的构建云应用程序安全经纪人(Proofpoint CASB)检测、评估和撤销访问您的it批准的核心云服务的第三方应用程序和脚本的OAuth权限。我们的深入分析有助于识别风险应用程序,包括恶意应用程序,并减少您的攻击面。根据风险评分和上下文,您可以定义或自动化操作。例如,你可以手动或自动撤销微软365和谷歌应用的OAuth令牌,如果被滥用,可能会带来风险。
用Proofpoint以人为本的云应用安全保护用户和数据。Proofpoint CASB结合了账户检测、数据丢失预防(DLP)、云和第三方应用管理和自适应访问控制来帮助您安全微软365.,谷歌工作区,框,salesforce,亚马逊web服务(AWS),Azure,Slack等。
有关Casb如何帮助您保护云应用程序的更多信息,请下载验证点白皮书“Casb入门”。
订阅校对点博客