為了增加使用者運用網站服務的便利性,在註冊帳號的過程裡,有越來越多的網站服務,會藉由串接其他服務帳號的做法,例如,讓使用者運用自己的臉書、Google等網站的帳號,來存取新的網站服務,這樣的機制已是行之有年,但近年來也成為攻擊者下手的目標──攻擊者架設假的應用程式,誘騙使用者以OAuth身分驗證的方式,提供線上服務的權限,進而竊取個人機密。最近微軟提出警告,他們發現濫用這種攻擊手段的情況,自2020年10月到今年上半,有顯著增加的現象,呼籲使用者要加以留意。
OAuth 2.0 授權是一項廣為業界使用通訊協定,可讓協力廠商應用程式代表使用者存取其帳戶並執行動作,舉凡Microsoft、Google 和 Facebook 等合法雲端服務提供者,都有使用這項通訊協定;然而, 同意網路釣魚 攻擊卻會濫用此一機制。
這些攻擊者的目的,在於誘騙一時未察的使用者對攻擊者擁有的惡意應用程式授予權限 (同意)。這個攻擊手法不同於典型的認證竊取 (Credential Harvest) 攻擊,也就是企圖竊取認證的攻擊者會編造具說服力的電子郵件、建立假的登陸頁面,並預期使用者上鉤。一旦使用者受騙上當,使用者認證就會落入攻擊者手中。
這種攻擊行動的目標,是藉由欺騙微軟、Google、臉書,或是推特等雲端服務的使用者,向攻擊者的應用程式授予權限,進而讓攻擊者的應用程式取得上述雲端服務的Token,從API查詢受害雲端服務帳號的資料,而這種惡意取得雲端服務帳號授權的攻擊手法,被稱為「 同意網路釣魚 攻擊(Consent Phishing Attack,或Illicit Consent Grants)」。
Microsoft 提供全方位的協調防護機制
Microsoft 365 Defender 可使用適用於 Office 365 的 Microsoft Defender、Microsoft Cloud App Security 和 Azure Active Directory 等解決方案,建構跨領域的全方位防護機制,進而抵禦同意網路釣魚攻擊。
使用 Azure AD 使用者同意設定來防範對非法應用程式授予同意
Azure Active Directory (Azure AD) 會禁止終端使用者對可能含有風險的應用程式授予同意。舉例來說,如果最新註冊的多租戶應用程式尚未完成發行者驗證,就會視為含有風險,這樣一來,即使終端使用者已造訪 OAuth 網路釣魚 URL,依舊不得對其授予同意。
Azure AD 可讓管理員控管使用者對應用程式授予同意的時機。這項強大的機制有助於預先防範威脅,因此,Microsoft 建議組織詳加檢閱規範使用者何時可授予同意的設定。Microsoft 建議使用預設選項,也就是只允許使用者對已驗證發行者提供的應用程式授予同意,且僅限授予選定的較低風險權限。如需進行更精細的設定,管理員也可建立自訂同意原則,以規範允許使用者授予同意的條件,包括僅限特定應用程式、發行者或權限。
使用適用於 Office 365 的 Microsoft Defender 封鎖同意網路釣魚電子郵件
適用於 Office 365 的 Microsoft Defender 會透過採用機器學習的進階篩選技術、IP和 URL 信譽系統,以及無比豐富的訊號,藉此抵禦網路釣魚攻擊和其他惡意電子郵件,將同意網路釣魚廣告活動拒於門外。適用於 Office 365 的 Microsoft Defender 中備有多項防網路釣魚原則,可協助組織防範冒充式網路釣魚攻擊。
調查和搜捕同意網路釣魚攻擊
安全性作業團隊可以使用 Microsoft 365 Defender 中的進階搜捕功能,以找出 同意網路釣魚 電子郵件和其他威脅。Microsoft 365 Defender 能整合並連結適用於 Office 365 的 Microsoft Defender 所提供的電子郵件威脅資料、Microsoft Cloud App Security 所提供的應用程式訊號,以及其他 Microsoft 服務所提供的情報,進而提供全方位的端對端攻擊檢視。隨後,安全性作業團隊就能使用 Microsoft 365 Defender 中的豐富工具來調查和修復攻擊。
除了充分運用 Microsoft 365 和 Microsoft Azure 中提供的各項工具之外,管理員也可採取以下措施,以進一步強化同意網路釣魚的防護機制:
🟡設定使用者同意設定,只讓使用者同意由已驗證發行者提供的應用程式,且僅限低風險權限。
🟡在安全性訓練中強化終端使用者對同意網路釣魚技巧的意識。訓練應涵蓋檢查網路釣魚電子郵件或應用程式畫面中的拼寫和文法錯誤,還有看似來自合法應用程式或公司,但實為捏造的應用程式名稱和網域 URL。
🟡協助組織了解權限和同意架構的運作方式,包括應用程式所要求的資料和權限,以及在組織的平台上,權限和同意會如何運作。請確認管理員了解如何管理和評估同意要求,以及如何調查和修復具有風險的 OAuth 應用程式。
🟡稽核組織內的應用程式和同意權限,以確保所使用的應用程式只能存取所需的資料,且遵循最低權限
原則。
🟡建立主動式應用程式控管原則,以監控 Microsoft 365 平台上的協力廠商應用程式行為,並使用原則導向且透過機器學習啟動的修復功能來因應常見和新興威脅情境中的應用程式行為。
Comments are closed, but trackbacks and pingbacks are open.