摘要

2022年12月15日，微软发现一起同意钓鱼攻击活动，涉及威胁演员在加入微软云合作伙伴计划（MCPP，前身为微软合作伙伴网络（MPN））时欺诈性冒充合法公司。该演员使用欺诈性合作伙伴账户为他们创建的Azure AD OAuth应用注册添加已验证发布者。这些欺诈性演员创建的应用程序随后被用于同意钓鱼攻击活动，诱骗用户授予欺诈性应用的权限。此钓鱼攻击活动主要针对英国和爱尔兰的部分客户。

所有欺诈性应用已被禁用，受影响客户已通过主题为“审查您[租户名称]租户中禁用的可疑应用”的电子邮件通知。我们鼓励受影响客户调查并确认是否需要额外补救措施，并建议所有客户采取措施防范同意钓鱼攻击。

客户影响

微软调查确定，一旦受害用户授予同意，威胁演员使用第三方OAuth应用作为主要技术/向量来窃取电子邮件。所有用户授予这些应用同意的受影响客户已收到通知。

缓解措施

当微软确定某个应用恶意并违反微软服务条款时，它会在所有租户中禁用该应用，并触发此处列出的一系列缓解措施。

微软已禁用威胁演员拥有的应用和账户以保护客户，并已联系我们的数字犯罪部门以确定可能对此特定威胁演员采取的进一步行动。我们已实施多项额外安全措施，以改进MCPP审查流程并降低未来类似欺诈行为的风险。我们将继续监控未来的恶意活动，并持续改进以防止欺诈、同意钓鱼攻击和一系列其他持续威胁。微软将保持警惕，因为攻击者不断演变其技术——我们敦促客户和合作伙伴也这样做。

致谢

我们感谢有机会调查Proofpoint与其他合作伙伴和客户报告的发现，这加强了我们在防止欺诈和滥用方面的持续努力。我们感谢他们在微软漏洞赏金计划和微软主动保护计划条款下进行安全研究。我们鼓励所有研究人员在协调漏洞披露（CVD）下与供应商合作，并遵守渗透测试的参与规则，以避免在进行安全研究时影响客户数据。

参考

有问题？通过Azure门户在aka.ms/azsupt打开支持案例。 有关客户可以采取的保护自己免受威胁并响应威胁的更多信息，请参见：

• 防范同意钓鱼攻击
• 受损和恶意应用调查
• 配置用户同意策略以限制用户同意操作
• 管理对应用的同意并评估同意请求
• 审计应用和同意的权限
• 检测和补救非法同意授予
• 受损和恶意应用调查