黑客滥用微软OAuth 2.0实作实施网络钓鱼攻击

    网络信息安全从业者Proofpoint于本周指出 ，该公司最近发现许多新型态的攻击手法，利用微软及其它业者的OAuth 2.0实作来展开网络钓鱼攻击。

关于OAuth的一些介绍

OAuth为一开放标准，让第三方应用得以在未取得使用者名称及密码的状态下，透过存取权杖（Access Token）存取使用者存放于特定网站上的有限资源，例如有些第三方的云端应用会藉由 OAuth 2.0存取使用者置放在Microsoft 365或Google Workspace 平台上的资料。

研究人员说明，当一个网页应用结合使用者控制的参与以指定重新定向的连结时，就会出现开放性的重新定向漏洞，将让黑客替网页应用打造一个URL，重新定向到任意的外部网域，经典的开放重新定向攻击会以自己的 URL作为重新定向的目标，但最新技俩的目标URL却是配置在OAuth 供应商的框架中，且未验证该URL。

此外，该重新定向的目标URL将迷失在合法的URL中，得以绕过大多数的网钓侦测解决方案及电子邮件安全解决方案，使用者即会因信任该 OAuth供应商而点选此一URL。

钓鱼事件发生的过程

Proofpoint便发现了针对微软OAuth实作的攻击行动，黑客利用数十种不同的 Microsoft 365第三方应用，挟带恶意的重新定向URL，至少有数百名Proofpoint 客户的使用者遭到攻击；所有的应用都是透过微软的URL递送，而将毫无戒心的使用者重新定向至钓鱼网页 。

在攻击行动中，大多数的网钓页面都滥用微软Azure网域来代管，使它们看起来更可信，黑客的目的是为了盗走使用者的Outlook Web Access 或PayPal等凭证。且不只是Microsoft 365，GitHub 也含有类似的开放性重新定向漏洞。

此次钓鱼事件的解决办法

Proofpoint不仅详述了黑客的攻击手法，也公布黑客所使用的网钓网址，指出目前最有效的缓解方式就是当使用者要离开现有的应用时，提出清楚的警告，在使用者被自动重新定向前特意延迟时间，或者是在重新定向之前，强迫使用者必须点选连接。