美國聯邦調查局(FBI)5月21日發布公告,警告新興釣魚即服務(Phishing-as-a-Service,PhaaS)平臺Kali365鎖定Microsoft 365環境,透過裝置代碼釣魚取得OAuth權杖並繞過多因素驗證(MFA)。
FBI指出,Kali365主要透過即時通訊服務Telegram散布,攻擊者可透過訂閱Kali365服務取得OAuth權杖擷取能力,藉此取得Microsoft 365的存取權杖與更新權杖,在不攔截使用者密碼或MFA驗證碼的情況下,持續存取Microsoft 365環境。
這類攻擊的關鍵,在於濫用Microsoft身分驗證機制中的合法裝置代碼流程(Device Code Flow)。攻擊者會寄送釣魚郵件,冒充可信任的雲端生產力或文件共享服務,郵件內含裝置代碼,並引導使用者前往真正的Microsoft驗證頁面輸入代碼。受害者完成驗證後,實際上是授權攻擊者控制的裝置存取其帳號,攻擊者便可在不需要密碼、也不必再次通過MFA的情況下,存取Outlook、Teams、OneDrive等Microsoft 365服務。
針對防護措施,FBI建議企業限制或封鎖裝置代碼流程,並在建立條件式存取(Conditional Access,CA)政策前,先稽核既有使用情況,確認是否有合法業務相依性。FBI也建議封鎖驗證轉移政策(authentication transfer policies),避免使用者將電腦上的驗證狀態轉移至行動裝置;若無法完全停用裝置代碼流程,則應排除緊急存取帳號,以免發生帳號鎖定問題。
資安業者Arctic Wolf則進一步針對Microsoft Entra身分與存取控管設定提出防護建議。該公司建議,若企業沒有明確需求,應透過條件式存取政策封鎖裝置代碼流程,設定範圍可涵蓋所有使用者與所有雲端應用程式;若會議室裝置、物聯網或數位看板等情境仍需使用,則應限制僅開放特定可信任IP位址、特定裝置平臺或特定服務帳號群組存取。Arctic Wolf也建議啟用Microsoft Entra ID Protection的登入風險政策,偵測異常或可疑登入,並搭配資安意識訓練,讓使用者能辨識並回報這類釣魚手法。
Source : https://www.ithome.com.tw/news/176121
Leave your comment