锁定OAuth身分验证机制的攻击行动不时传出,而这样的情况也有越来越泛滥的现象,骇客很可能在多种型态的攻击行动,运用这种身分验证机制达到目的。
例如,近期微软揭露针对自家云端环境进行的OAuth攻击行动里,骇客不只建置大量的OAuth应用程式来从事对手中间人攻击(AiTM),挟持电子邮件信箱来进行下一阶段行动,特别的是,也有骇客借由OAuth挟持Azure用户帐号,并租用虚拟机器来进行挖矿。
【攻击与威胁】
另有骇客组织寄送钓鱼邮件进行对手中间人攻击(AiTM),窃得连线阶段(Session)的Token后,将其用于危害使用者的微软帐号,入侵电子邮件服务Outlook寻找能用于BEC的材料,其中有些骇客为了持续存取受害者帐号,就会借由在OAuth应用程式加入帐号的方式来达成,此外,部分骇客还会进一步滥用Microsoft Graph API资源,寄送大量垃圾邮件。微软指出,在今年7月至11月,这些骇客借由许多遭外流的帐号,建置逾1.7个OAuth应用程式。
2. 12月12日,GUR声称成功入侵俄罗斯联邦税务局(FNS)其中1台「受到良好保护、重要的中央伺服器」,然后存取逾2,300台位于俄罗斯及克里米亚的伺服器,并对其部署恶意程式;另一方面,GUR也对俄罗斯政府提供IT服务的业者Office.ed-it.ru下手,发动恶意软体攻击。
这两起事故导致俄罗斯税收系统的配置档案全数遭到抹除,资料库及其备份也被摧毁,此外,GUR也声称瘫痪俄罗斯中央政府与地方政府的网路通讯,以及FNS、税务资料中心、上述IT业者之间的连线。俄罗斯政府在事发后4天里尝试复原上述系统运作,但没有成功,GUR认为FNS至少会瘫痪1个月,且无法完全复原到原本的状态。