文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布

基于恶意OAuth应用的MFA绕过攻击:微软身份体系中的新型钓鱼威胁研究

本文聚焦于2025年披露的一类高隐蔽性钓鱼攻击:攻击者诱导用户授权伪装成合法工具的恶意OAuth应用,利用其申请的高权限API作用域(如Mail.Read、Files.ReadWrite.All),在无需密码或一次性验证码的情况下访问邮箱...(Access Token)与刷新令牌(Refresh Token);应用使用令牌调用Microsoft Graph API。...3.3 令牌获取与持久化访问用户点击“同意”后,Microsoft将授权码发送至redirect_uri。...安全团队亦缺乏工具批量导出和分析应用权限清单。4.3 刷新令牌生命周期过长在未启用条件访问(Conditional Access)的情况下,刷新令牌有效期可达90天。...6 讨论此类攻击的本质是身份授权机制与用户认知之间的错配。OAuth设计初衷是提升互操作性,但其“一次同意、长期访问”的模型在企业环境中构成重大风险。

27310

设备代码钓鱼攻击对Microsoft 365 OAuth授权机制的威胁分析与防御策略

本文聚焦于近期在Microsoft 365环境中频发的“设备代码钓鱼”(Device Code Phishing)攻击,深入剖析攻击者如何滥用OAuth 2.0设备授权流程,在不获取用户密码的前提下实现账户接管...该流程允许用户在另一台具备浏览器的设备上完成授权,从而获取访问令牌。...);调用设备授权端点,获取device_code和user_code;通过钓鱼邮件、Teams消息或短信向目标用户发送诱导信息,例如:“您的账户需进行安全验证,请立即访问 https://microsoft.com...4.2 实施严格的用户与管理员同意策略Azure AD允许管理员配置“用户可以同意应用访问其数据”的策略。...因此,更可行的方案是“最小化启用”:仅对特定安全组(如IT管理员、开发团队)开放设备授权权限,其余用户默认禁用。此外,OAuth权限模型本身存在粒度不足问题。

25610
    • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    你打出去的“客服电话”,正在把黑客请进公司内网——Microsoft Teams通知成新型钓鱼跳板,回拨型攻击席卷全球企业

    一封来自 no-reply@teams.mail.microsoft.com 的邮件静静躺在某跨国制造企业IT主管的收件箱里。主题是:“你在‘财务Q4结算’会议中被提及”。...Microsoft Teams作为全球超3亿用户使用的协作平台,其通知邮件由微软官方域名 teams.mail.microsoft.com 发出,具备完整的SPF、DKIM、DMARC认证。...邮件层:增强Teams通知监控限制Teams外部邀请:在Microsoft 365管理中心配置策略,禁止非组织成员创建团队或邀请用户;监控异常团队命名:通过Microsoft Graph API定期扫描团队名称...,识别含“PayPal”“Billing”“Urgent”等关键词的可疑实体;# 示例:通过Graph API列出所有团队GET https://graph.microsoft.com/v1.0/groups...某金融集团已试点“钓鱼电话演练”:安全团队伪装成“微软支持”致电员工,测试其反应。结果显示,70%的员工在未核实情况下同意远程接入。“演练后,我们强制推行‘双人确认制’,三个月内同类风险下降90%。”

    25610

    CyberDrain推免费工具帮中小企业守住Microsoft 365大门

    用户点击链接后,跳转到微软官方OAuth授权页面——界面真实、域名合法,一切看起来都“没问题”。一旦用户点击“同意”,攻击者就获得了对该账户的长期访问权限,甚至能绕过MFA。...它不依赖外部SaaS服务,而是直接调用Microsoft Graph API,实时扫描租户内的高风险行为:检测异常收件箱规则:如自动转发至外部域名、删除特定关键词邮件等;识别可疑OAuth应用授权:尤其是请求...技术内核:Graph API + 自动化剧本 = 主动防御要理解这款工具为何有效,得先了解Microsoft 365的安全架构。...微软通过Microsoft Graph API开放了对用户邮箱、日历、设备、身份等数据的编程访问接口。...正常情况下,这些接口用于开发合法应用(如Teams、Outlook插件);但攻击者同样可以利用它们作恶。

    16810

    利用协作平台的钓鱼攻击:以Microsoft Teams与Slack为例的技术分析与防御机制研究

    传统网络安全体系主要围绕电子邮件构建,而协作平台因其“内部属性”常被排除在深度检测之外。用户对来自“同事”的消息天然信任,安全团队亦缺乏对平台内消息流的有效监控手段。...在本次针对协作平台的攻击中,该组织展现出对Teams与Slack API、OAuth授权流程及企业身份管理系统的深入理解,表明其已具备专业化红队能力。...技术上,攻击者可通过以下方式伪造发件人身份:利用被盗账户直接发送:若前期已通过其他途径获取某员工凭证,则直接以其身份发送消息;创建同名外部联系人:在Teams中添加外部用户并设置显示名为“IT Support...3.2 钓鱼页面与实时凭证窃取点击链接后,用户被重定向至高度仿真的Microsoft 365登录页。页面不仅复刻品牌UI,还动态显示用户所在企业的租户名称(通过SAML请求中的whr参数获取)。...4.2 第三方应用审查缺失企业管理员往往未启用“仅允许批准应用”的策略。默认情况下,任何用户均可授权外部OAuth应用,且无自动权限审计机制。

    27410

    大型语言模型安全实践:Copilot安全防护经验总结

    这令人担忧,因为即使Copilot没有给测试人员直接访问这些文件的权限,恶意攻击者现在也知道该去哪里寻找密码。发送给Copilot的其他提示返回了关于所用用户账户的信息、所属群组等。...Copilot可以从互联网获取关于公司、其位置等信息,但对询问内部网络、群组、文件、用户和基础设施的提示的回应被严格锁定。...⁴Microsoft 365 Copilot将Copilot的集成提升到新水平,使其在Outlook、Teams、Word、Excel和其他M365应用程序中可用。...决定您希望Copilot为组织做什么: 存在很多FOMO(害怕错过),人们在未思考为什么需要的情况下实施Copilot和其他LLM。...这包括在使用Copilot或任何其他LLM时进行适当使用和数据安全的培训。监控和审计使用情况: 定期监控和审计Copilot使用情况,以检测任何异常或未经授权的活动。

    27110

    俄罗斯国家级黑客组织借“设备代码钓鱼”潜入全球政企云邮箱,安全界拉响新型OAuth攻击警报

    其标准流程如下:用户在受限设备上请求访问资源(如OneDrive);设备向授权服务器(如Azure AD)发起请求,获取一个设备代码(device_code)和用户验证码(user_code);用户被引导至...https://microsoft.com/devicelogin,手动输入验证码;同时,设备后台持续轮询服务器,等待用户完成授权;用户在网页端登录并同意授权后,服务器向设备返回Access Token...breaktime.sleep(5)拿到Token后,攻击者即可调用Microsoft Graph API,读取邮件、日历、OneDrive文件、Teams消息,甚至发送新邮件冒充受害者——全程无需知道密码...(2)审计第三方应用授权所有用户都应定期检查其Microsoft 365账户的“隐私仪表板”中的应用权限:https://account.microsoft.com/privacy/管理员则可通过PowerShell...同时,开启风险用户检测(Identity Protection)和异常登录活动告警。例如,若某账户在短时间内从不同国家调用Graph API,即使Token合法,也应触发二次验证。

    18710

    Microsoft Teams 全球大瘫痪。。。

    八个多小时前微软在Microsoft 365状态Twitter官方帐户上透露:“我们接到了有关用户无法访问Microsoft Teams或使用任何功能的报告。”...然而,Teams不是唯一受到中断影响的产品,因为用户们还开始报告连接到众多Microsoft 365服务出现故障。...微软在其Microsoft 365服务健康状态页面上进一步详述,受影响的客户在使用以下一项或多项服务时遇到了问题: •Microsoft Teams(访问、聊天和会议) •Exchange Online...(发送邮件出现延迟) •Microsoft 365 管理员中心(无法访问) •多项服务内的Microsoft Word(无法加载) •Microsoft Forms(无法通过Teams来使用) •Microsoft...Graph API(任何依赖此API的服务都可能受到影响) •Office Online(Microsoft Word 访问问题) •SharePoint Online(Microsoft Word

    2.4K30

    Barracuda预警:高级OAuth钓鱼正悄然接管你的企业账号

    你有没有在登录某个小工具或第三方应用时,看到过这样的提示:“此应用想要访问你的Microsoft 365邮箱、日历和文件”?...点下“同意”只需一秒,但风险可能持续数月——甚至在你完全不知情的情况下,攻击者已通过这个授权,悄悄读取你的邮件、下载公司文档、冒充你发消息。...Barracuda研究人员发现,攻击者正大量注册看似正规的恶意应用(如“DocuSign Helper”“Teams Meeting Scheduler”),并通过钓鱼邮件诱导用户点击链接。...启用第三方应用管理员审批在Microsoft Entra ID(原Azure AD)中开启“用户无法自行同意应用”策略,所有新应用授权必须经IT管理员审核。此举可阻断90%以上的恶意应用注册。2....即使令牌被盗,也无法在陌生设备上使用。5. 定期吊销可疑刷新令牌通过Microsoft Graph API或安全中心,监控异常令牌活动(如非工作时间、非常用地点),并批量撤销高风险会话。

    33510

    基于OAuth同意滥用的假冒微软应用钓鱼攻击研究

    此类攻击不依赖凭据窃取,而是滥用OAuth 2.0授权框架中的“用户同意”流程,使恶意应用获得长期有效的刷新令牌(refresh token),进而通过Microsoft Graph API静默读取邮件...2 攻击技术原理与实施路径2.1 OAuth 2.0 用户同意机制回顾在Microsoft Entra ID中,第三方应用若需访问用户资源(如邮件、日历),必须通过OAuth 2.0授权码流程获取权限。...);用户点击“接受”,微软返回授权码;应用用授权码向令牌端点兑换访问令牌与刷新令牌;应用使用令牌调用Microsoft Graph API。...关键点在于:多租户应用(multi-tenant app)允许任何组织的用户自行同意,除非管理员显式禁用此功能。...结果:对照组:攻击成功,72小时内读取300封邮件,未触发任何告警;实验组:用户尝试同意时被条件访问策略阻止(62%);若管理员误批准,Cloud Apps在2小时内标记高风险(28%);剩余10%在24

    24810

    国家级黑客与黑产“共用武器库”:M365设备代码钓鱼成云时代通用入侵钥匙

    一、一场“巧合”的攻击暴露了更危险的趋势2025年10月,一家位于德国的能源企业安全团队在例行日志审计中发现异常:多个高管账户在凌晨时段调用了Microsoft Graph API,读取了大量内部邮件和.../devicelogin,输入user_code;同时,受限设备后台持续轮询令牌端点;用户在网页端登录并同意授权后,服务器向设备返回Access Token。...此时,受害者实际上是在向攻击者控制的应用授权!一旦确认,攻击者的轮询脚本立即获得Access Token,并可调用任意Graph API权限。...例如 LockBit 4.0 的附属团伙,在2025年12月针对一家北美制造企业发起攻击:通过钓鱼邮件诱导IT管理员扫码授权;获取Directory.Read.All权限,枚举全公司用户;使用User.Invite...Dec 2025.Microsoft Security Blog. Disrupting threats targeting Microsoft Teams.

    17310

    快速提升Entra ID安全性的实用指南

    用户应用程序同意和权限建议:将用户对应用程序的同意设置为"允许用户对来自已验证发布者的应用程序进行同意,针对选定权限",或者更好的选项是"让Microsoft管理您的同意设置(推荐)"保护Entra ID...确保所有者是管理员帐户,并受到与角色可分配组所属角色相同级别的保护。...RoleManagement.ReadWrite.Directory允许应用程序在没有登录用户的情况下读取和管理租户的基于角色的访问控制(RBAC)设置。...GPO修改权限获取其他系统上的本地管理员密码(当不唯一时)获取管理系统的控制权Microsoft SCCM(或类似)漏洞扫描器危害VMware(或其他虚拟平台)从Entra Connect到Active..."只有分配给特定管理员角色的用户可以邀请访客用户"将用户同意设置设置为"让Microsoft管理您的同意设置(推荐)"审查Tier 0角色成员资格,并确保成员是管理员帐户,是PIM符合条件的,并且不是从本地同步的如果您使用角色可分配组

    21010

    “授权一下就行”?黑客用OAuth新招绕过MFA,微软账户安全再遭挑战

    近日,全球多家安全机构披露了一种新型网络钓鱼攻击手法:黑客通过伪造恶意OAuth应用,诱导企业用户点击并授权,从而在无需密码、无需验证码的情况下,获得对Microsoft 365账户的完全访问权限。...但正是这些权限,足以让黑客获取敏感信息。3. 授权后令牌长期有效一旦授权完成,攻击者获得的访问令牌可长期使用,除非管理员手动撤销或用户更改密码。...许多管理员甚至不知道可以在Azure AD(现为Microsoft Entra ID)中查看和管理第三方应用权限。“大公司可能有自动化系统每天扫描可疑授权,但小公司靠人工检查,很容易遗漏。”...定期审查并撤销未知OAuth应用管理员应登录Microsoft Entra ID(原Azure AD)门户,进入“企业应用” > “已授予同意的应用”,检查所有用户授权记录。...启用“需管理员同意”的强制策略对于高权限应用(如可读取邮件、修改权限等),设置为“必须由管理员批准”,防止普通用户误授。

    36610

    开源编辑器 Atom 未经同意收集用户数据???

    Atom 是 GitHub 专门为程序员推出的一个跨平台文本编辑器。昨日,有用户给 Atom 提 issue 称其未经同意收集用户数据。...“首次启动 Atom 时,它会在未经同意的情况下联系在 Amazon 服务器上运行的 Microsoft/GitHub 进程,并将我的 IP 地址和时间戳泄露给制造商,把我使用 Atom 的事实(通过出站请求...,Microsoft 内部系统管理员,GitHub 系统管理员和 Amazon 网络管理员。...为此,Paul 感到气愤,并依照“间谍软件”的定义——间谍软件是一种软件,有时甚至在其不知情的情况下收集有关个人或组织的信息,并在未经用户同意的情况下将此类信息发送给另一个实体——将 Atom 归为间谍软件...他还提到,这种情况的出现意味着 PR #12281 上的工作尚未完成。这是 2016 年 Atom 团队提出的“添加遥测同意设置”,该设置用于确定是否收集用户的使用信息。

    60100

    PwnAuth——一个可以揭露OAuth滥用的利器

    API——资源 客户端希望访问的目标应用程序。在本例中,Microsoft OneDrive API 终端是资源。 资源拥有者 允许访问其部分帐户的人员。在本例中,就是你。...授权服务器 授权服务器提供资源所有者用来同意或拒绝的接口。服务器可以与API资源相同,或者是另一个不同的组件。在本例中,Microsoft登录门户是“授权服务器”。...攻击者可能会创建恶意应用程序,并使用获取的访问令牌通过API资源获取受害者的帐户数据。访问令牌不需要知道用户的密码,并能绕过双因素认证。...由于所有受害者交互都位于合法资源提供者(例如Microsoft)拥有的网站上,因此未经训练的用户很难区分合法的OAuth应用程序和恶意应用程序。...虽然任何允许OAuth应用程序的云环境都可以成为目标,但是PwnAuth目前使用一个模块来支持恶意Office 365应用程序,捕获OAuth令牌并使用捕获的令牌与Microsoft Graph API

    2.5K20

    微软365“设备代码钓鱼”风暴来袭:无需密码,黑客秒控企业邮箱

    受害者通常会收到来自看似内部IT部门、微软支持团队,甚至是合作方的邮件或 Teams 消息,内容大同小异:“检测到您的账户存在异常活动,请立即完成设备验证以防止服务中断。”...OAuth 是现代互联网身份授权的事实标准。它允许第三方应用在不获取用户密码的前提下,访问用户在其他服务(如 Google、Microsoft)上的资源。...;用户登录并授权该应用;客户端轮询 /token 端点,一旦用户授权,立即获取 Access Token。...Graph API 窃取数据breakelif token_resp.json().get("error") == "authorization_pending":time.sleep(5)else:...print("❌ 授权失败:", token_resp.text)break一旦拿到 access_token,攻击者即可调用 Microsoft Graph API 执行任意操作:# 示例:读取受害者最近

    33610

    最新攻略:免费申请 Office365 开发者帐号,带25帐户的E3企业版 ,终生可续

    (1TB 用于管理员帐户,5TB 用户帐户用于 24 个用户) 就在本月(2019年4月),Office 365 开发者社区成员正式突破12万人,并仍在以每月1万人的速度在增长,也是为了庆祝这一里程碑,...) Microsoft Planner Microsoft Stream for O365 E5 SKU Microsoft Teams Mobile Device Management for Office...通过这种新型号,改进了仪表板用户体验,这种新的磁贴设计旨在帮助您管理订阅,并允许我们在您的订阅需要续订或即将到期时发出警告。新仪表板还将提供(在不久的将来)新功能,以帮助您配置订阅和开发人员沙箱。...add-ins Microsoft Graph Microsoft Teams SharePoint 这个新模型为您提供了您想要的永久更新,使我们能够使用遥测和分析来验证客户是否仅将订阅用于开发目的。...“预览体验成员”; 勾选同意:我同意有关我参与此度早的条款和条件。

    34K42

    VoidProxy平台对多因素认证的绕过机制与防御对策研究

    2025年,安全研究机构与Okta威胁情报团队联合披露名为“VoidProxy”的新型钓鱼即服务(Phishing-as-a-Service, PhaaS)平台,其自2024年起在暗网活跃推广,并持续针对...更严重的是,若攻击者获取IdP管理员权限,可直接修改条件访问策略或注册恶意应用,造成全租户级风险。...,即使用户登出仍有效;Access Token:短期有效(通常1小时),但可用于调用Microsoft Graph API。...攻击者利用这些令牌可直接通过API访问用户邮箱、OneDrive文件、Teams聊天记录等,完全绕过前端UI与MFA提示。...刷新令牌生命周期过长:默认情况下,Microsoft Entra ID的刷新令牌有效期可达90天,且在用户未主动登出前持续有效。这为攻击者提供了长期潜伏窗口。

    24810

    设备代码钓鱼攻击的战术趋同化及其对企业身份安全的挑战

    研究揭示,此类攻击通过滥用OAuth 2.0设备授权流程,在用户主动授权的掩护下获取长期有效的刷新令牌,从而规避传统基于密码泄露或会话劫持的检测机制。...3.2 犯罪团伙的快速跟进勒索软件附属组织(如LockBit 3.0的渗透测试团队)自2025年初开始采用该技术作为初始访问手段。...留空(设备授权无需回调)API权限:勾选Microsoft Graph的Delegated权限,如:Mail.ReadWriteCalendars.ReadWriteUser.Read.AllFiles.ReadWrite.All4.2...,攻击者可调用Microsoft Graph API读取邮件:import requestswith open('stolen_token.json') as f:token = json.load(f...5.2 实施严格的同意策略配置用户同意策略,禁止普通用户授权第三方应用:Azure Portal → Enterprise Applications → Consent and permissions

    23410

    微软Build 2019|发布多项产品、服务,涵盖VRAR、AI、云等领域

    微软用HoloLens 2再现“阿波罗登月计划” 在Build 2019开发者大会的开幕序章中,微软联合Unreal引擎团队推出了“阿波罗11号登月计划”的交互式可视化体验,同时用于纪念阿波罗登月计划50...微软《Teams》更新,集成《Spatial》功能 在HoloLens中有一款名为《Teams》的应用,允许人们通过AR中的3D虚拟角色进行协作。...Microsoft Search ? 在2018年9月的Ignite大会上,微软曾发布过一款名为Microsoft Search的产品。...Microsoft Graph 在本次大会中,Microsoft Graph也获得了更新,用户能够将企业客户的业务数据与Microsoft Graph进行整合,并通过Azure Data Factory...对Microsoft Graph的数据迁移进行管理。

    1.6K20
    点击加载更多

    相关资讯

    热门标签

    更多标签

    活动推荐

      运营活动

      活动名称
      广告关闭

      腾讯云开发者

      扫码关注腾讯云开发者

      扫码关注腾讯云开发者

      领取腾讯云代金券

      热门产品

      热门推荐

      更多推荐

      Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有

      深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

      腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号

      领券