Microsoft 365 OAuth-nätfiskeattacker ökar, där hotaktörer riktar in sig på företagsanvändare genom legitima autentiseringsflöden. I stället för att stjäla lösenord lurar angripare nu användare att själva bevilja åtkomst genom att missbruka OAuth-autentisering med enhetskoder.
Dessa kampanjer bygger på social ingenjörskonst snarare än tekniska sårbarheter. Offren leds till Microsofts officiella inloggningssidor, vilket minskar misstänksamheten och ökar träffsäkerheten. När åtkomst väl har beviljats kan angripare kontrollera konton utan att behöva lösenord eller MFA-koder.
Säkerhetsforskare varnar för att denna metod sprids snabbt i företagsmiljöer.
Hur OAuth-nätfiske med enhetskoder fungerar
OAuth-nätfiske med enhetskoder missbrukar en legitim Microsoft-autentiseringsmetod som är avsedd för enheter utan webbläsare. Angripare skickar nätfiskemejl som instruerar användare att besöka en Microsoft-inloggningssida och ange en kort auktoriseringskod.
När användare anger koden godkänner de omedvetet åtkomst för en applikation som kontrolleras av angriparen. Microsoft utfärdar därefter OAuth-token som gör det möjligt för angripare att interagera med offrets konto.
Eftersom processen använder riktiga Microsoft-domäner uppfattar många användare förfrågan som säker. Detta förtroende gör tekniken mycket effektiv.
Varför dessa attacker kringgår traditionella skydd
Microsoft 365 OAuth-nätfiskeattacker lyckas eftersom de inte innebär traditionell stöld av autentiseringsuppgifter. Lösenord förblir orörda och MFA kringgås inte på vanligt sätt.
I stället godkänner användare frivilligt åtkomst under autentiseringsflödet. När godkännandet är klart kan angripare nå e-post, filer och molntjänster med giltiga token.
Många säkerhetslösningar fokuserar på avvikande inloggningar snarare än missbruk av token. Denna lucka gör det möjligt för angripare att arbeta obemärkt efter den initiala åtkomsten.
Vem som blir måltavla
Hotaktörer fokuserar främst på företagsanvändare, särskilt de med åtkomst till känslig information eller interna samarbetsverktyg. Ekonomiavdelningar, chefer och IT-personal är vanliga mål.
Angripare maskerar ofta nätfiskemeddelanden som dokumentdelningar, röstmeddelanden eller säkerhetsaviseringar. Dessa lockbeten skapar stress och pressar användare att snabbt slutföra processen med enhetskoder.
Både ekonomiskt motiverade grupper och statligt kopplade aktörer har tagit till sig denna metod.
Risker efter att kontoåtkomst har uppnåtts
När angripare får OAuth-åtkomst kan de läsa e-post, ladda ner filer och övervaka kommunikation. I vissa fall skapar de inkorgsregler för att dölja varningsmeddelanden eller behålla långvarig åtkomst.
Angripare kan även använda komprometterade konton för att genomföra interna nätfiskekampanjer. Denna laterala rörelse ökar både räckvidden och trovärdigheten i efterföljande attacker.
OAuth-åtkomst kan förbli aktiv tills den manuellt återkallas, vilket möjliggör långvarig exponering.
Hur organisationer kan minska risken
Organisationer bör granska OAuth-applikationsbehörigheter i sina Microsoft 365-miljöer. Onödiga eller okända appgodkännanden bör tas bort omedelbart.
Att begränsa autentisering med enhetskoder för högriskanvändare kan kraftigt minska exponeringen. Säkerhetsteam bör även övervaka utfärdande av token och leta efter ovanliga auktoriseringsmönster.
Utbildning av användare är fortsatt avgörande. Medarbetare behöver förstå att det är riskabelt att ange enhetskoder eller godkänna appar via oombedda meddelanden.
Slutsats
Microsoft 365 OAuth-nätfiskeattacker visar hur angripare anpassar sig till starkare säkerhetskontroller genom att utnyttja betrodda arbetsflöden. Genom att missbruka legitima autentiseringsmetoder får hotaktörer åtkomst utan att utlösa traditionella varningar.
Organisationer som begränsar OAuth-exponering, övervakar tokenaktivitet och utbildar användare kan minska effektiviteten hos dessa attacker. Att ignorera risken gör det möjligt för angripare att operera tyst inne i molnmiljöer.
0 svar till ”Microsoft 365 OAuth-nätfiskeattacker riktar in sig på företagskonton”