Microsoft met en garde contre les attaques de phishing de contenu via des applications Office 365 OAuth malveillantes

Microsoft met en garde contre une attaque basée sur les applications où les cibles sont amenées à fournir aux applications Office 365 OAuth malveillantes un accès à leurs comptes Office 365. Ce type d’attaque est appelé phishing de contenu.

Lorsque les victimes accordent OAuth – l’application malveillante à une telle autorisation, les attaquants peuvent facilement accéder à leurs comptes Microsoft et effectuer des appels API au nom des victimes. En outre, ils peuvent accéder à leur courrier, fichiers, contacts, notes, profils ainsi qu’aux informations et ressources sensibles stockées sur le système de gestion / stockage de documents SharePoint d’entreprise et l’espace de stockage cloud OneDrive Entreprise.

Agnieszka Girling, responsable PM du groupe de partenaires Microsoft, a déclaré;

“Alors que l’utilisation des applications s’est accélérée et a permis aux employés d’être productifs à distance, les attaquants cherchent à tirer parti des attaques basées sur les applications pour obtenir un accès injustifié à des données précieuses dans les services cloud. Bien que vous soyez familier avec les attaques ciblant les utilisateurs, telles que le phishing par e-mail ou la compromission des informations d’identification, les attaques basées sur les applications, telles que le phishing par consentement, sont un autre vecteur de menace dont vous devez être conscient. “

Le vice-président de Microsoft pour la sécurité client et la confiance, Tom Burt, a déclaré:

Une fois que les victimes ont cliqué sur les liens trompeurs, elles ont finalement été invitées à accorder des autorisations d’accès à une application Web malveillante (application Web). À l’insu de la victime, ces applications Web malveillantes étaient contrôlées par les criminels qui, avec une autorisation frauduleusement obtenue, pouvaient accéder au compte Microsoft Office 365 de la victime.

Microsoft a récemment observé plusieurs pratiques de phishing de contenu et a intenté une action en justice contre les acteurs de la menace qui orchestrent ces attaques depuis l’ombre. La société annonce le retrait de six domaines qui ont été utilisés pour les applications Office 365 OAuth malveillantes. Ces domaines incluent officeinvetorys [.] Com, officehnoc [.] Com, officesuited [.] Com, officemtr [.] Com, officesuitesoft [.] Com et mailitdaemon [.] Com.

Microsoft a également identifié et désactivé les applications Office 365 OAuth malveillantes pour empêcher les utilisateurs d’y accéder en évaluant et en surveillant des milliards de signaux.

Girling ajouté;

Nous continuons également à investir dans les moyens de garantir la sécurité de notre écosystème d’applications en permettant aux clients de définir des politiques sur les types d’applications auxquels les utilisateurs peuvent consentir et en mettant en évidence les applications provenant d’éditeurs de confiance.

Microsoft fournit aux utilisateurs une option pour vérifier s’ils ont des applications ou des services de consentement des utilisateurs liés à leurs comptes et également une procédure pour supprimer ces autorisations. Les organisations peuvent également prendre plusieurs mesures qui les aident à mieux protéger leur personnel distant contre de telles attaques – elles se réfèrent à l’aide d’applications vérifiées par l’éditeur pour leur apprendre à repérer les tactiques de phishing de consentement.