攻擊者如何武器化受信任的身分驗證端點
威脅行為者正積極利用 OAuth 的錯誤處理機制,將受害者誘導至 login.microsoftonline.com 和 accounts.google.com。藉由構建註定失敗的請求,攻擊者能實現無縫且靜默的重定向。
「毒藥參數」警告: 攻擊者結合
prompt=none 與無效的 scope,強制 IdP 在受害者完全察覺不到的情況下跳轉至惡意伺服器。惡意授權請求剖析
GET /common/oauth2/v2.0/authorize
?client_id=<攻擊者應用程式ID>
&prompt=none
&scope=INVALID_SCOPE
&response_type=code
&redirect_uri=https://惡意中繼站.com/phish
?client_id=<攻擊者應用程式ID>
&prompt=none
&scope=INVALID_SCOPE
&response_type=code
&redirect_uri=https://惡意中繼站.com/phish
偵測與防禦策略
- 監控錯誤代碼 65001: 在 Entra ID 登入日誌中審查
resultType = 65001,特別是來自未知應用程式 ID 的失敗請求。 - 限制使用者同意權限: 停用使用者對多租戶應用程式的授權,或將其限制在「經過驗證的發行者」。
- 分析 State 參數: 若電子郵件中的 OAuth URL 包含經過編碼的使用者電郵作為
state參數,這是極高置信度的釣魚指標。
MITRE ATT&CK 技術對照
| 技術 ID | 名稱 | 實務應用 |
|---|---|---|
| T1566.002 | 魚叉式網路釣魚:連結 | 在郵件中使用偽裝的 OAuth URL。 |
| T1557 | 中間人攻擊 (AitM) | 透過 EvilProxy 攔截憑證。 |
| T1574.002 | DLL 側載 | 透過合法程序加載惡意 DLL。 |
關於 Guardz
Guardz 為管理服務提供商 (MSP) 和 IT 專業人士提供一個人工智能驅動的網絡安全平台,專門設計來保護小型企業免受網絡攻擊。我們的統一檢測與響應平台能夠全面保護用戶、電子郵件、設備、雲端目錄和數據。透過簡化網絡安全管理,我們讓企業能夠專注於發展業務,同時減少安全管理的複雜性。Guardz 結合強大的網絡安全技術和豐富的專業知識,確保安全措施持續受到監控、管理和改進,預防未來的攻擊並降低風險。
關於Version 2
Version 2 Digital 是立足亞洲的增值代理商及IT開發者。公司在網絡安全、雲端、數據保護、終端設備、基礎設施、系統監控、存儲、網絡管理、商業生產力和通信產品等各個領域代理發展各種 IT 產品。透過公司龐大的網絡、通路、銷售點、分銷商及合作夥伴,Version 2 提供廣被市場讚賞的產品及服務。Version 2 的銷售網絡包括台灣、香港、澳門、中國大陸、新加坡、馬來西亞等各亞太地區,客戶來自各行各業,包括全球 1000 大跨國企業、上市公司、公用事業、醫療、金融、教育機構、政府部門、無數成功的中小企及來自亞洲各城市的消費市場客戶。
