详细内容或原文请订阅后点击阅览
攻击者将受信任的 OAuth 应用程序变成云后门
Proofpoint 研究人员警告说,攻击者越来越多地滥用基于 OAuth 的内部应用程序来获得对云环境的持久访问。这些应用程序通常在相当长的一段时间内不被注意到,即使在重置密码或强制执行多重身份验证 (MFA) 后,攻击者仍可以保持对高权限帐户的访问。什么是 OAuth 以及攻击者如何利用它? OAuth 是一种授权协议,允许应用程序通过使用特殊访问令牌安全地连接到您的帐户(例如 M365)……更多→攻击者将受信任的 OAuth 应用程序变成云后门的帖子首先出现在 Help Net Security 上。
来源:Help Net Security _云安全Proofpoint 研究人员警告说,攻击者越来越多地滥用基于 OAuth 的内部应用程序来获得对云环境的持久访问。
这些应用程序通常在相当长的一段时间内未被注意到,即使在重置密码或强制执行多重身份验证 (MFA) 后,攻击者仍可以保持对高权限帐户的访问。
什么是 OAuth 以及攻击者如何利用它?
OAuth 是一种授权协议,允许应用程序使用特殊访问令牌而不是您的用户名和密码安全地连接到您的帐户(例如 M365)。
威胁参与者经常欺骗用户授予恶意第三方(外部)OAuth 应用程序访问其帐户的权限。有时,攻击者还会尝试诱骗目标创建和共享授权代码,这些授权代码将交换恶意 OAuth 应用程序使用的访问令牌。
技巧 用户 创建 分享攻击者还通过网络钓鱼或密码攻击来危害高权限(例如管理员)帐户,然后使用这些帐户创建新的或修改现有的第二方(内部)OAuth 应用程序以实现其目标。
创建新的或修改现有的第二方(内部)OAuth 应用程序Proofpoint 研究人员解释说,第二方应用程序直接在组织的租户内注册,通常由组织的管理员或具有适当权限的用户创建和管理。因此,它们本质上受到组织的信任,并且更难以检测。
攻击者可以自动创建恶意内部 OAuth 应用程序
研究人员创建了(但未公开)一个概念验证工具包,可自动注册和配置 OAuth 应用程序。
未来账户超密访问工具(来源:Proofpoint)
应用程序的验证码用于获取访问、刷新和 ID 令牌,即使帐户密码更改,这些验证码也将继续有效。
结束 在这里订阅!