无法使用Graph API回复Microsoft团队中第三方导入的邮件 - 腾讯云开发者社区

文章/答案/技术大牛

发布

基于恶意OAuth应用的MFA绕过攻击：微软身份体系中的新型钓鱼威胁研究

关键词：OAuth 2.0；MFA绕过；Microsoft Entra ID；钓鱼攻击；身份安全；API权限；条件访问；第三方应用治理1 引言随着云办公的普及，Microsoft 365已成为全球企业数字基础设施的核心组成部分...、redirect_uri、scope等参数；用户输入凭证并完成MFA；显示OAuth同意页面：列出所请求的权限（如“读取你的邮件”）；用户点击“同意”：Microsoft颁发授权码；第三方应用用授权码换取访问令牌...（Access Token）与刷新令牌（Refresh Token）；应用使用令牌调用Microsoft Graph API。...3.4 数据窃取与横向移动获得令牌后，攻击者可调用Microsoft Graph API执行以下操作：# 读取最新100封邮件Invoke-RestMethod -Uri "https://graph.microsoft.com...4 企业安全配置中的薄弱环节尽管微软提供多项安全控制，但实际部署中普遍存在以下问题：4.1 第三方应用授权策略宽松默认情况下，Microsoft Entra ID允许所有用户注册和授权第三方应用。

2671 0

CyberDrain推免费工具帮中小企业守住Microsoft 365大门

公共互联网反网络钓鱼工作组技术专家芦笛指出，“而Microsoft 365因其广泛使用和强大API能力，成了攻击者的首选目标。”...它不依赖外部SaaS服务，而是直接调用Microsoft Graph API，实时扫描租户内的高风险行为：检测异常收件箱规则：如自动转发至外部域名、删除特定关键词邮件等；识别可疑OAuth应用授权：尤其是请求...技术内核：Graph API + 自动化剧本 = 主动防御要理解这款工具为何有效，得先了解Microsoft 365的安全架构。...微软通过Microsoft Graph API开放了对用户邮箱、日历、设备、身份等数据的编程访问接口。...未来版本中，CyberDrain计划加入基于内容指纹的URL解包功能——即自动提取邮件中短链接的真实目标，并集成轻量级沙箱进行初步分析。

1641 0

您找到你想要的搜索结果了吗？

是的

没有找到

设备代码钓鱼攻击对Microsoft 365 OAuth授权机制的威胁分析与防御策略

由于整个授权过程完全发生在微软官方域名下，传统基于URL识别的钓鱼检测机制失效，且多数用户无法区分“授权第三方应用”与“系统安全验证”的本质差异。...MFA；攻击者轮询令牌端点，成功获取access_token与refresh_token；利用令牌调用Microsoft Graph API，读取邮件、日历、联系人，甚至创建新应用或修改权限。...值得注意的是，此过程中攻击者从未接触用户密码，且所有用户交互均发生在微软域名下，因此传统钓鱼检测工具（如邮件网关URL扫描、浏览器警告）完全失效。...假设攻击者已注册一个Azure AD应用，client_id为“a1b2c3d4-5678-90ef-ghij-klmnopqrstuv”，并申请了以下API权限：Microsoft Graph: Mail.ReadWrite...随后，攻击者可使用该令牌调用Graph API：# Example: Read user's mailboxheaders = {'Authorization': f'Bearer {token_json

2431 0

微软365“设备代码钓鱼”风暴来袭：无需密码，黑客秒控企业邮箱

受害者通常会收到来自看似内部IT部门、微软支持团队，甚至是合作方的邮件或 Teams 消息，内容大同小异：“检测到您的账户存在异常活动，请立即完成设备验证以防止服务中断。”...问题在于：步骤4中的授权页面由微软官方提供，用户无法分辨背后的应用是否可信。“普通用户看到的是微软的 UI，但授权的对象却是攻击者注册的 OAuth 应用。”...print("❌ 授权失败:", token_resp.text)break一旦拿到 access_token，攻击者即可调用 Microsoft Graph API 执行任意操作：# 示例：读取受害者最近...10封邮件headers = {"Authorization": f"Bearer {access_token}"}mails = requests.get("https://graph.microsoft.com...实施严格的 OAuth 应用审批策略启用“用户无法注册应用”策略，并要求所有第三方应用必须经 IT 部门审批。

3061 0

今天，GPT-4登陆Office全家桶，打工人的生产方式被颠覆了

类似地，你可以要求 Copilot 切换回复内容的语气或长度：以下是可以尝试的一些示例命令和 prompt：总结一下我上周外出时错过的电子邮件。标记任何重要的项目。...在 Teams 中，Copilot 能促使集体会议变得更高效、加快对话速度、推进关键讨论点，让整个团队都马上知道下一步该做什么。...它实际上是一个复杂的处理和编排引擎，将 GPT-4 等大模型的强大功能与 Microsoft 365 应用、 Microsoft Graph 中的业务数据结合起来，通过自然语言技术提供给每个人。...给 Copilot 的 prompt 首先会通过 Microsoft Graph（Microsoft 的统一数据 API）进行过滤，以获取更多上下文。...然后将这些修改后的 prompt 发送到 GPT-4，回复会通过 Microsoft Graph 进行过滤以保障安全性、安全性和合规性，然后发送回 Microsoft 365 应用程序。

2.8K5 0

ConsentFix攻击机制与OAuth授权滥用的防御对策研究

例如，用户在Google搜索“公司邮箱无法登录”，点击一个已被SEO投毒的合法但遭篡改的第三方支持页面。...Graph API读取邮件、发送钓鱼邮件、下载OneDrive文件等。...；授权后立即调用高风险API（如批量导出邮件）。...（二）策略管理层：建立授权生命周期管理定期授权审计：每季度导出全组织应用授权清单，清理未使用或来源不明的应用；实施最小权限原则：推动业务部门使用权限更细的现代API（如Microsoft Graph的delegated...permissions with scopes）；自动化撤销机制：当检测到可疑活动时，自动调用Microsoft Graph API撤销相关应用授权：# 使用Microsoft Graph API撤销用户授权

1911 0

云邮箱钓鱼攻击趋势与企业防御体系重构

多数邮件网关仅解析首跳URL，无法追踪多层重定向后的恶意终点。...（2）线程劫持（Thread Hijacking）：攻击者监听公开论坛或GitHub Issue中企业员工的邮件地址，随后伪造同一邮件主题下的回复，插入钓鱼链接。...Microsoft Graph API吊销会话示例：import requestsdef revoke_user_sessions(user_id, access_token):url = f"https...5.2 多云环境的策略统一大型企业常同时使用Microsoft 365与Google Workspace，需确保安全策略一致性。...5.3 告警降噪与自动化编排SOC团队需整合EDR、邮件网关、身份平台日志，构建关联分析规则。

2241 0

基于OAuth滥用的定向钓鱼攻击与防御机制研究

通过可执行代码示例，验证了OAuth授权监控与自动撤销机制的有效性。研究结论指出，仅依赖用户教育无法应对当前高度专业化、协议级的钓鱼威胁，必须从身份治理与协议使用规范层面重构企业安全边界。...关键词：OAuth钓鱼；中间人代理；UTA0355；定向攻击；Microsoft Entra ID；Google Workspace；条件访问策略1 引言随着单点登录（SSO）和第三方授权在企业数字化生态中的普及...，搭建几乎无法肉眼区分的仿冒报名页面。...、Gmail API等，读取联系人、邮件、日历，甚至发送钓鱼邮件扩大攻击面。...Graph API支持查询用户授予的同意记录：GET https://graph.microsoft.com/v1.0/me/oauth2PermissionGrantsAuthorization:

2821 0

Microsoft 365 Copilot × AI，杀疯了

GPT-4 刚刚发布，Microsoft 365 Copilot 紧随其后重磅上线，结合了大型语言模型（LLM）和 Microsoft Graph 中数据的协同，将语言转化为强有力的工具应用。...Microsoft 365 Copilot 通过结合 LLM 和 Microsoft Graph，可以帮助人们在工作中更加高效，激发无限创造，另应用更加智能，提升专业技能。...Copilot 甚至可以帮你整理邮件类别，还可以用指定语气回复邮件。小白再不用发愁了！...总结一下我上周外出时错过的邮件，标记所有重要的项目起草一份回复，在表达感谢的同时，询问第二和第三点的更多细节；缩短这份草稿的长度，并使用更加专业的语气邀请大家来参加下周四中午关于新产品发布的「午餐和学习...更好地释放自己的创造力和潜力，实现个人和团队的共同成长和发展。 ▍生态圈共融，AI为你黏合目前，微软正在与 20 位客户一起测试 Copilot，未来几个月「预览版」将推广到更多客户手上进行使用。

5.3K2 0

针对政治机构的鱼叉式钓鱼攻击特征与防御体系构建

例如，发送一封看似来自《卫报》记者的邮件：“我们正在撰写关于您提案的报道，请在此OneDrive链接中查看事实核查草稿”，链接指向攻击者控制的SharePoint站点，页面模仿Microsoft登录界面...（2.4）横向移动与持久化获取邮箱访问权后，攻击者常利用“自动转发规则”窃取未来邮件，或通过Graph API读取联系人、会议记录，为下一轮攻击提供情报。...部分幕僚甚至使用个人邮箱处理公务，扩大攻击面。（3.2）高外部交互需求议员需频繁与选民、媒体、利益团体沟通，无法像封闭部门那样限制外部邮件。攻击者正是利用这一“开放性”植入诱饵。...（5.1）系统架构前端：Outlook插件，提供举报按钮与可疑链接预览；中台：基于Microsoft Graph API的行为分析引擎；后台：条件访问策略管理与OAuth授权审计模块。...（5.2）关键功能代码示例自动检测并阻断恶意邮件转发规则：from microsoft_graph import GraphClientdef detect_malicious_forwarding(user_id

2031 0

钓鱼邮件“精准制导”升级：Outlook与Gmail成重灾区，企业身份防线告急

场景1：线程劫持——伪装成对话延续攻击者首先通过信息泄露或撞库获取某员工的邮箱凭证，登录后找到一封真实的内部邮件（如“Q4销售预测讨论”），然后以该员工身份回复：“附件是更新版，请查收。”...页面不仅复刻了Microsoft 365登录界面，还动态显示受害者的真实姓名、部门甚至最近登录设备型号——这些信息来自此前泄露的数据或公开API。...传统邮件网关往往只扫描第一跳URL，无法解析多层跳转，导致漏报。2....国内企业广泛使用的腾讯企业邮、阿里云邮箱、网易企业邮，同样面临“密码过期”“隔离邮件释放”类钓鱼。...建立快速响应机制一键冻结账户：SOC接到报告后5分钟内禁用账号；会话吊销：通过Microsoft Graph API或Google Admin SDK，立即终止所有活跃会话；# Microsoft Graph

2541 0

基于微软 Entra B2B 邀请机制的 TOAD 钓鱼攻击分析与防御策略

Graph API 的代码示例，验证防御措施的可行性。...一旦获得权限，攻击者可通过 Microsoft Graph API 发送邀请。...由于整个流程使用合法 API 且经身份验证，邮件完全合规。...邮件内容通常具备以下特征：权威性：使用“Microsoft 账单团队”等正式称谓；紧迫性：“今日扣款”“24 小时内生效”等时间压力；可操作性：提供明确行动指令（“立即致电”）；低技术门槛：不要求用户点击链接...；即使绕过（如使用管理员账户），邮件也被标记，用户识别率提升 78%。此外，通过 Graph API 监控，我们能在 5 分钟内检测到异常邀请模式并自动响应。

1710 0

基于SharePoint信任链的AiTM钓鱼与BEC攻击机理及防御

异常共享行为检测算法与代码实现为了在实际环境中及时发现潜在的SharePoint滥用行为，安全团队需要部署定制化的监控脚本。...以下是一个基于Python的示例，演示如何利用Microsoft Graph API查询SharePoint共享活动，并基于启发式规则识别异常模式。...", "supplier-b.net", "client-c.org"}def get_access_token(self) -> str:"""获取Microsoft Graph API访问令牌"""...}/auditLogs/directoryAudits" # 简化示例，实际应使用unifiedAuditLogs# 注：Graph API中统一审计日志的端点可能需要特定权限和不同的查询方式# 此处仅为逻辑演示...fetch_sharing_activities函数负责从Microsoft Graph API拉取审计日志（实际部署中需处理分页和API限流）。

1011 0

高级OAuth钓鱼攻击的演化机制与防御体系构建

向令牌端点换取访问令牌与刷新令牌；Client使用访问令牌调用受保护资源（如Microsoft Graph API）。...由于应用名称与图标可自定义，且权限描述使用通用术语（如“读取您的邮件以提供服务”），用户极易误判为合法请求。...获得令牌后，攻击者通过Microsoft Graph API执行侦察：import requeststoken = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.xxxxx"headers.../staging.app.corp.com/auth/callback"]}（2）第三方应用审批与权限最小化启用“用户无法注册应用”策略，并要求所有新应用经IT部门审批。...可使用Microsoft Graph PowerShell批量设置：# 禁止用户同意应用Set-MgPolicyAuthorizationPolicy -PermissionGrantPolicyId

2861 0

俄罗斯国家级黑客组织借“设备代码钓鱼”潜入全球政企云邮箱，安全界拉响新型OAuth攻击警报

# 攻击者侧：使用Microsoft Graph API发起设备代码请求（简化示例）import requestsclient_id = "attacker-controlled-app-id" # 攻击者注册的恶意应用...breaktime.sleep(5)拿到Token后，攻击者即可调用Microsoft Graph API，读取邮件、日历、OneDrive文件、Teams消息，甚至发送新邮件冒充受害者——全程无需知道密码...直到2025年8月，亚马逊威胁情报团队发现APT29在针对欧洲安全会议的钓鱼活动中复用该技术，业界才意识到这已成为其标准作业程序（SOP）。更值得警惕的是，此类攻击工具已“平民化”。...邮件安全网关：钓鱼邮件来自真实邮箱，内容无恶意附件或链接（指向的是微软官方域名），难以拦截；MFA：用户确实在微软官网完成了交互式登录，MFA已通过；SIEM/SOAR：后续的API调用（如读取邮件）来自微软数据中心...（2）审计第三方应用授权所有用户都应定期检查其Microsoft 365账户的“隐私仪表板”中的应用权限：https://account.microsoft.com/privacy/管理员则可通过PowerShell

1761 0

基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

此类攻击不依赖凭据窃取，而是滥用OAuth 2.0授权框架中的“用户同意”流程，使恶意应用获得长期有效的刷新令牌（refresh token），进而通过Microsoft Graph API静默读取邮件...2 攻击技术原理与实施路径2.1 OAuth 2.0 用户同意机制回顾在Microsoft Entra ID中，第三方应用若需访问用户资源（如邮件、日历），必须通过OAuth 2.0授权码流程获取权限。...）；用户点击“接受”，微软返回授权码；应用用授权码向令牌端点兑换访问令牌与刷新令牌；应用使用令牌调用Microsoft Graph API。...4.6 Graph API 异常行为监控部署KQL查询，检测异常API调用模式：// 检测单应用大量邮件读取AuditLogs| where OperationName == "Consent to application...5 实验验证在测试租户中模拟攻击流程：注册假冒应用，请求Mail.Read + offline_access；使用普通用户账户完成同意；通过脚本每小时读取100封邮件，持续72小时。

2431 0

微软深夜放炸弹！GPT-4 Office全家桶发布，10亿打工人被革命

起草一份回复，在表达感谢的同时，询问第二和第三点的更多细节；缩短这份草稿的长度，并使用更加专业的语气。邀请大家来参加下周四中午关于新产品发布的「午餐和学习」活动，现场会提供午餐。...神秘的Microsoft Graph 另外，这套系统中还存在一个神秘的组织——Microsoft Graph。...从技术上讲，Microsoft Graph是一个API，而应用程序则可以通过这个Graph「看到」你的电子邮件、日历、文件、使用模式和其他存储在微软云中的信息，如Outlook、OneDrive、Office...然后，生成的结果会再传到Microsoft Graph，进行额外的合规性检查，然后结果和命令会发送回Word中。两大厂开战，一键淘汰打工人？相信在座的各位胖友们早已急不可待了。...可是咱们都见证过ChatGPT胡说八道的种种高光时刻，更何况，微软最近刚被曝出解雇了公司的人工智能道德团队，这个团队正是负责厘清OpenAI的语言模型可能会给微软的软件带来何种风险的。

2.4K2 0

基于浏览器扩展的Microsoft 365钓鱼攻击实时阻断机制研究

OAuth滥用：攻击者诱导用户授权一个看似无害的第三方应用（如“PDF Viewer”、“Calendar Sync”），该应用请求过度的API权限（如Mail.ReadWrite, Calendars.ReadWrite...一旦授权，攻击者即可通过合法API令牌访问用户邮箱、日历等资源，规避传统邮件监控。这两种攻击均可通过非邮件渠道发起，使得基于邮件内容的过滤器形同虚设。...然而，这些服务均为云端集中式策略，无法干预用户在本地浏览器中与任意Web页面的交互行为。一旦用户被诱导离开受保护的邮件环境，进入攻击者控制的页面，上述所有云端策略均无法生效。...无法防御高度定制化钓鱼页：若攻击者使用全新域名且页面不含关键词，仅靠内容特征可能不足。无Graph API集成：当前版本不自动撤销会话或令牌，需管理员手动响应。...与Microsoft Graph API联动：在检测到钓鱼后，自动调用/revokeSignInSessions终结用户所有活动会话。

2511 0

教育信息系统中的钓鱼攻击识别与防御机制研究——以滑铁卢地区教育局事件为例

2 钓鱼攻击在教育场景中的特征分析2.1 攻击载体与社会工程策略WRDSB事件中，攻击者主要利用电子邮件作为初始攻击载体。...OAuth滥用：利用合法云服务（如Microsoft Azure AD）的第三方应用授权机制，诱导用户授予恶意应用“读取邮件”“发送邮件”等高危权限，绕过传统密码窃取检测。...然而，WRDSB事件中攻击者使用全新注册域名而非伪造wrdsb.ca，故DMARC策略无法触发。反垃圾邮件网关：依赖关键词匹配与URL黑名单。但攻击初期使用的短链接及动态生成页面难以被及时收录。...不同于依赖第三方黑名单，本系统在隔离环境中自动访问链接，记录重定向路径、页面DOM结构及JavaScript行为。若检测到表单提交目标为非官方域名，或存在窃取Cookie的脚本，则阻断邮件投递。...通过Microsoft Graph API定期拉取用户授权的应用列表，比对白名单。若发现未经批准的第三方应用请求Mail.Read、Mail.Send等权限，自动撤销授权并告警。

2001 0

PwnAuth——一个可以揭露OAuth滥用的利器

API——资源客户端希望访问的目标应用程序。在本例中，Microsoft OneDrive API 终端是资源。资源拥有者允许访问其部分帐户的人员。在本例中，就是你。...授权服务器授权服务器提供资源所有者用来同意或拒绝的接口。服务器可以与API资源相同，或者是另一个不同的组件。在本例中，Microsoft登录门户是“授权服务器”。...虽然任何允许OAuth应用程序的云环境都可以成为目标，但是PwnAuth目前使用一个模块来支持恶意Office 365应用程序，捕获OAuth令牌并使用捕获的令牌与Microsoft Graph API...图1：将一个Microsoft App导入PwnAuth 配置完成后，可以使用生成的“授权URL”对潜在受害者进行钓鱼。点击后，PwnAuth将捕获受害者OAuth令牌供以后使用。...依据API资源，企业可用的选项差异很大，但通常包括： · 限制第三方应用程序可以请求的API范围。

2.5K2 0

点击加载更多

基于恶意OAuth应用的MFA绕过攻击：微软身份体系中的新型钓鱼威胁研究

CyberDrain推免费工具帮中小企业守住Microsoft 365大门

设备代码钓鱼攻击对Microsoft 365 OAuth授权机制的威胁分析与防御策略

微软365“设备代码钓鱼”风暴来袭：无需密码，黑客秒控企业邮箱

今天，GPT-4登陆Office全家桶，打工人的生产方式被颠覆了

ConsentFix攻击机制与OAuth授权滥用的防御对策研究

云邮箱钓鱼攻击趋势与企业防御体系重构

基于OAuth滥用的定向钓鱼攻击与防御机制研究

Microsoft 365 Copilot × AI，杀疯了

针对政治机构的鱼叉式钓鱼攻击特征与防御体系构建

钓鱼邮件“精准制导”升级：Outlook与Gmail成重灾区，企业身份防线告急

基于微软 Entra B2B 邀请机制的 TOAD 钓鱼攻击分析与防御策略

基于SharePoint信任链的AiTM钓鱼与BEC攻击机理及防御

高级OAuth钓鱼攻击的演化机制与防御体系构建

俄罗斯国家级黑客组织借“设备代码钓鱼”潜入全球政企云邮箱，安全界拉响新型OAuth攻击警报

基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

微软深夜放炸弹！GPT-4 Office全家桶发布，10亿打工人被革命

基于浏览器扩展的Microsoft 365钓鱼攻击实时阻断机制研究

教育信息系统中的钓鱼攻击识别与防御机制研究——以滑铁卢地区教育局事件为例

PwnAuth——一个可以揭露OAuth滥用的利器

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐