Les chercheurs en sécurité ont découvert une campagne de phishing qui a amené les utilisateurs à autoriser des autorisations pour malveillant Applications OAuth. Microsoft a désactivé plusieurs comptes Microsoft Partner Network (MPN) frauduleux qui ont violé les environnements cloud des organisations.
Microsoft expliqué dans un avis de sécurité que la société de sécurité Proofpoint a découvert la campagne début décembre. Les acteurs de la menace se sont d’abord fait passer pour des organisations légitimes en rejoignant le programme de partenariat cloud (MCPP) de Microsoft. Une fois inscrit, Microsoft a abusé des faux comptes partenaires pour ajouter un éditeur vérifié aux enregistrements OAuth créés dans Azure Active Directory (Azure AD).
Selon Microsoft, ces attaques de phishing ont incité les victimes ciblées à accorder des autorisations à des tiers-applications malveillantes tierces, telles que l’accès aux fichiers et les autorisations de lecture des e-mails. Ces autorisations pourraient permettre aux pirates d’accéder aux e-mails, contacts, fichiers, paramètres de boîte aux lettres et autres informations sensibles.
“L’impact potentiel sur les organisations comprend des comptes d’utilisateurs compromis, l’exfiltration de données, l’abus de marque d’organisations usurpées, la fraude par compromission des e-mails professionnels (BEC) et la boîte aux lettres abus », ont expliqué les chercheurs de Proofpoint.”L’attaque était moins susceptible d’être détectée que les attaques traditionnelles de phishing ciblé ou de force brute. Les organisations disposent généralement de contrôles de défense en profondeur plus faibles contre les acteurs malveillants utilisant des applications OAuth vérifiées. »
Détails des informations sur l’application pour une application malveillante
Microsoft a reconnu que la campagne d’hameçonnage par consentement ciblait certaines entreprises clientes basées en Irlande et au Royaume-Uni. En réaction, l’entreprise a désactivé les applications malveillantes et informé les organisations concernées.
Microsoft prend des mesures pour bloquer les attaques de phishing par consentement
De plus, Microsoft a également pris plusieurs mesures pour réduire le risque d’attaques similaires. consentir à des attaques de phishing à l’avenir. Microsoft a également noté que son unité Digital Crimes s’efforçait de déterminer des mesures de sécurité supplémentaires pour protéger les clients.
Les chercheurs en sécurité de Proofpoint ont fourni des suggestions pour aider les administrateurs à protéger leurs organisations. Il est conseillé aux équipes informatiques de détecter et de bloquer automatiquement les applications OAuth malveillantes avec des solutions de sécurité cloud. De plus, il est fortement recommandé d’empêcher les utilisateurs finaux de donner leur consentement aux applications d’éditeurs vérifiés.