首見黑客以惡意Office 365 App訪問用戶賬號
一般網路釣魚攻擊是騙取受害者連到假冒的網站以騙取其帳密。安全公司近日發現一波攻擊行動,黑客利用惡意Office 365 App,不需取得帳密就可登錄用戶的賬號,且傳統變更密碼及雙重驗證皆無法防堵此類攻擊。
安全公司PhishLabs首先發現,攻擊者發送包含假冒公司內部SharePoint和OneDrive文件分享連接的網路釣魚信件,企圖利用社交工程騙取用戶點入。
其實早在2017年就有黑客利用類似手法,不過當時連接目的地為Google Docs。2017年的網路釣魚攻擊結合OAuth驗證介面,在用戶接到連接還來不及意會過來時,就在要求以Google Docs訪問Gmail賬號的對話框中按下「允許」,使外部人士取得受害者Gmail內容及聯繫人訪問權,無需賬號密碼。雖然Google很快就移除了釣魚Google Docs,但估計有超過50萬人受到影響。
冒充Office 365服務則是前所未見。受害者收到的信件內有一個Excel文件分享連接邀請用戶前往,主機名為login.microsoftonline.com且由微軟管控。點下去後用戶如果之前沒有登錄Office 365,即會出現合法的微軟登錄頁面。用戶登錄後會跳出一個Office 365插件(add-in)App要求訪問權的對話框,這個App要求訪問用戶數據、聯繫人、登錄個人數據頁、讀取郵件、讀取所有OneNote筆記,讀寫郵件設置,還要能訪問所有用戶看得到的文件。只要按下對話框中的「接受」,該App就可以無礙訪問用戶所有信件內容、聯繫人、OneDrive上的文件等,完全無需賬號密碼。
研究人員指出,黑客是利用Office 365 Outlook可使用插件的功能得逞。這另一個原因是,微軟允許Office 365插件和Office 365 App不需上架Office Store就可側載(side load)藉此迴避任何安全審查。本例中,讓黑客遠程發送惡意App取得用戶Office 365雲計算服務中所有數據,並利用SAML或OAuth協議,訪問在單一簽入體系統的其他系統。
分析發現,該插件程序是在去年11月底利用一家合法公司信息創建,可能是該公司之前被黑入,而讓黑客得以用開發人員賬號來開發惡意插件程序。
研究人員說,用戶發現後即使變更賬號密碼也沒用,必須將該惡意插件程序和賬號的連接才能防止數據外泄。
為避免日後再有類似的社交工程網路釣魚信件,除了安裝郵件安全軟體外,安全公司建議管理員限制Office 365用戶安裝非官方Office Store或白名單以外的App的權利。同時也應加強用戶安全教育及公司應變措施。研究人員強調,傳統清除病毒、變更密碼或啟動雙重驗證等措施,並無法遏止這類攻擊。
