微软认披露 OAuth 攻击事件

关键要点

• 微软遭受了网络间谍犯罪分子的攻击，这些攻击者利用 OAuth 应用程序访问受保护的企业账户。
• 攻击者为俄罗斯的高级持续威胁组 APT29，微软详细介绍了攻击的技术细节。
• 为帮助其他组织预防类似威胁，微软建议了一系列审核和检测技术。
• 此外，微软提醒企业实施 MFA 来增强账户安全。

微软近期揭示，它也成为网络间谍犯罪分子的受害者，这些黑客通过滥用 OAuth应用程序来获取受保护的企业账户访问权限。此前，微软已对与俄罗斯相关的高级持续威胁组织的持续攻击发出警告。

微软现在详细说明了攻击对其OAuth凭证管理平台实施的影响，以帮助其他组织“保护、检测和应对类似威胁”。

在1月25日的帖子中，微软的威胁情报团队阐述了针对其高管的 OAuth 攻击，指出 APT29（又名 Cozy Bear、Midnight Blizzard或 Nobelium）攻击者善于滥用使用流行的 OAuth 基于令牌的身份验证和授权开放标准的应用程序。

“微软能够通过审阅 Exchange Web Services (EWS) 的活动和利用我们的审核日志功能，结合我们对 Midnight Blizzard的广泛知识，识别这些攻击。” 微软在上周的帖子中提到。

黑客最初攻击了微软的一个测试租户账户和一个旧的测试 OAuth 应用程序。该应用程序具有对微软企业环境的提升访问权限，允许对手创建其他恶意的 OAuth应用程序。

“他们创建了一个新用户账户，以便在微软企业环境中授予由攻击者控制的恶意 OAuth 应用程序同意。” 公司在1月25日的帖子中写道。

“然后，威胁行为者使用旧的测试 OAuth 应用程序向他们授予 Office 365 Exchange Online的‘full_access_as_app role’，从而访问邮箱。” 研究人员指出。

加固 OAuth 攻击面

隐藏踪迹是 Midnight Blizzard 或 APT29 持续成功的关键。

“作为多次试图掩盖攻击来源的一部分，Midnight Blizzard 使用住宅代理网络，通过大量也被合法用户使用的 IP地址路由其流量，以与被妥协的租户进行交互，随后与 Exchange Online 进行交互。” 研究人员写道。

微软指出，滥用住宅代理并不是对手的新手段。这是一种“使基于传统妥协指标 (IOC) 的检测变得不可行的技术，因为 IP 地址的变更率很高。” 研究人员表示。

根据数据分析师和 Proxyplus.cz 创始人 John McHenry的说法，”住宅代理允许您选择特定位置（国家、城市或移动运营商），并像在该地区的真实用户一样上网。“ 在
中，McHenry 解释了这些类型的代理“可以定义为保护用户免受普通网络流量的中介。它们作为缓冲区，同时还隐藏您的 IP地址。代理是由提供商为用户分配的替代 IP 地址。“

微软表示，“由于代理基础设施的频繁使用和高变更率，寻找传统的 IOC，比如基础设施的 IP 地址，已不足以检测此类型的 Midnight Blizzard活动。”

微软建议了一系列审核和检测技术以缓解此类基于 OAuth 的攻击。具体包括：

建议 | 描述
—|—
识别恶意 OAuth 应用 | 利用 识别恶意应用
实施条件访问应用控制 | 对未管理设备连接的用户实施
审核特权访问账户 | 进行特权访问帐户的审核
审核持有应用代理权限身份 | 审核在 Exchange Online 中拥有 权限的身份

之前的 OAuth 攻击警告

在去年12月12日的帖子中，微软威胁情报团队