如何防御启用OAuth的基于云的攻击

在Microsoft Azure Active Directory中使用这些设置可以控制用户请求的OAuth访问权限。

数字网络中的入场券/访问/准入/授权/认证
WildPixel /您的照片/ Getty图片

最近 恶意软件字节 报告称,SolarWinds黑客使用与其他攻击相同的入侵媒介来访问其内部电子邮件。该引导程序似乎滥用了对Microsoft Office 365和Azure环境具有特权访问的应用程序。该代表说:“调查表明,攻击者利用了我们Office 365租户中的休眠电子邮件保护产品,该产品允许访问内部公司电子邮件的有限子集。”攻击序列表明,攻击者诱骗最终用户授权第三方站点通过以下方式共享身份验证: OAuth .

OAuth 2.0是基于令牌的身份验证和授权的开放标准,使应用程序无需直接暴露用户密码即可获得授权。建立此链接连接可能会无意中授权第三方产品拥有比您预期更多的权限。这是为什么我建议始终设置OAuth设置的原因之一,以便您(管理员)必须批准访问权限或至少监视这些批准。

攻击者如何利用OAuth

攻击顺序以 网络钓鱼 诱使用户单击链接或批准操作的电子邮件。这项简单的操作可使攻击者至少阅读用户的电子邮件和联系信息。在报告的攻击中,通常会制作OAuth访问令牌来模仿目标公司的品牌,从而使用户的可疑度降低。然后,向用户显示屏幕,该屏幕授予对资源的有限访问权限。

攻击者利用网络服务构建网络钓鱼诱饵,该服务将启动特定的OAuth授权请求链接。通过让用户单击以批准权限,攻击者可以在使用OAuth的整个生态系统中充当该用户。添加多因素身份验证不会阻止这些攻击。您需要添加策略以检查某些活动和异常操作。

要继续阅读本文,请立即注册