微软调查 - 威胁行为者滥用已验证发布者流程的同意钓鱼活动

摘要

2022年12月15日，微软发现了一起同意钓鱼活动，涉及威胁行为者在加入微软云合作伙伴计划（MCPP）（前身为微软合作伙伴网络（MPN））时欺诈性地冒充合法公司。该行为者使用欺诈性合作伙伴账户为他们在Azure AD中创建的OAuth应用注册添加已验证发布者。这些欺诈行为者创建的应用程序随后被用于同意钓鱼活动，诱骗用户授予欺诈性应用程序权限。此钓鱼活动主要针对英国和爱尔兰的部分客户。

所有欺诈性应用程序已被禁用，受影响的客户已收到主题为"审查您[租户名称]租户中已禁用的可疑应用程序"的电子邮件通知。我们鼓励受影响的客户调查并确认是否需要额外的补救措施，并建议所有客户采取措施防范同意钓鱼。

客户影响

微软调查确定，一旦受害用户授予同意，威胁行为者使用第三方OAuth应用程序作为主要技术/向量来窃取电子邮件。所有用户授予这些应用程序同意的受影响客户均已收到通知。

缓解措施

当微软确定某个应用程序是恶意的并违反微软的服务条款时，它会在所有租户中禁用该应用程序，并触发此处列出的一系列缓解措施。

微软已禁用威胁行为者拥有的应用程序和账户以保护客户，并已让我们的数字犯罪部门参与，以确定可能对此特定威胁行为者采取的进一步行动。我们已实施多项额外的安全措施，以改进MCPP审查流程，并降低未来类似欺诈行为的风险。我们将继续监控未来的恶意活动，并不断改进以防止欺诈、同意钓鱼和一系列其他持续威胁。随着攻击者不断改进其技术，微软将保持警惕-我们敦促客户和合作伙伴也这样做。

致谢

我们感谢有机会调查Proofpoint与其他合作伙伴和客户报告的发现，这加强了我们在防止欺诈和滥用方面的持续努力。我们感谢他们在微软漏洞赏金计划和微软主动保护计划条款下进行安全研究。我们鼓励所有研究人员在协调漏洞披露（CVD）下与供应商合作，并遵守渗透测试的参与规则，以避免在进行安全研究时影响客户数据。

参考资料

有问题吗？通过Azure门户在aka.ms/azsupt打开支持案例。 有关客户可以采取的保护自己免受威胁并响应威胁的步骤的更多信息，请参见：

• 防范同意钓鱼
• 受损和恶意应用程序调查
• 配置用户同意策略以限制用户同意操作
• 管理对应用程序的同意并评估同意请求
• 审计应用程序和已同意的权限
• 检测和修复非法同意授予
• 受损和恶意应用程序调查