苏州众里数码科技有限公司 版权所有 备案号:苏ICP备19031672号-1 百度统计 | 技术支持:牛商股份
网络信息安全从业者Proofpoint于本周指出 ,该公司最近发现许多新型态的攻击手法,利用微软及其它业者的OAuth 2.0实作来展开网络钓鱼攻击。
关于OAuth的一些介绍
OAuth为一开放标准,让第三方应用得以在未取得使用者名称及密码的状态下,透过存取权杖(Access Token)存取使用者存放于特定网站上的有限资源,例如有些第三方的云端应用会藉由 OAuth 2.0存取使用者置放在Microsoft 365或Google Workspace 平台上的资料。
研究人员说明,当一个网页应用结合使用者控制的参与以指定重新定向的连结时,就会出现开放性的重新定向漏洞,将让黑客替网页应用打造一个URL,重新定向到任意的外部网域,经典的开放重新定向攻击会以自己的 URL作为重新定向的目标,但最新技俩的目标URL却是配置在OAuth 供应商的框架中,且未验证该URL。
此外,该重新定向的目标URL将迷失在合法的URL中,得以绕过大多数的网钓侦测解决方案及电子邮件安全解决方案,使用者即会因信任该 OAuth供应商而点选此一URL。
钓鱼事件发生的过程
Proofpoint便发现了针对微软OAuth实作的攻击行动,黑客利用数十种不同的 Microsoft 365第三方应用,挟带恶意的重新定向URL,至少有数百名Proofpoint 客户的使用者遭到攻击;所有的应用都是透过微软的URL递送,而将毫无戒心的使用者重新定向至钓鱼网页 。
在攻击行动中,大多数的网钓页面都滥用微软Azure网域来代管,使它们看起来更可信,黑客的目的是为了盗走使用者的Outlook Web Access 或PayPal等凭证。且不只是Microsoft 365,GitHub 也含有类似的开放性重新定向漏洞。
此次钓鱼事件的解决办法
Proofpoint不仅详述了黑客的攻击手法,也公布黑客所使用的网钓网址,指出目前最有效的缓解方式就是当使用者要离开现有的应用时,提出清楚的警告,在使用者被自动重新定向前特意延迟时间,或者是在重新定向之前,强迫使用者必须点选连接。
咨询热线
18625216903