首见骇客以恶意Office 365 App存取用户账号

一般网钓攻击是骗取受害者连到假冒的网站以骗取其帐密。安全公司近日发现一波攻击行动，骇客利用恶意Office 365 App，不需取得帐密就可登入用户的账号，且传统变更密码及双因素验证皆无法防堵此类攻击。

安全公司PhishLabs首先发现，攻击者传送包含假冒公司内部SharePoint和OneDrive档案分享连结的网钓信件，企图利用社交工程骗取用户点入。

其实早在2017年就有骇客利用类似手法，不过当时连结目的地为Google Docs。2017年的网钓攻击结合OAuth验证界面，在用户接到连结还来不及意会过来时，就在要求以Google Docs存取Gmail账号的对话框中按下“允许”，使外部人士取得受害者Gmail内容及联络人存取权，无需账号密码。虽然Google很快就移除了钓鱼Google Docs，但估计有超过50万人受到影响。

冒充Office 365服务则是前所未见。受害者收到的信件内有一个Excel档案分享连结邀请用户前往，主机名为login.microsoftonline.com且由微软控管。点下去后用户如果之前没有登入Office 365，即会出现合法的微软登入页面。用户登入后会跳出一个Office 365外挂（add-in）App要求存取权的对话框，这个App要求存取用户资料、联络人、登入个人资料页、读取邮件、读取所有OneNote笔记，读写邮件设定，还要能存取所有用户看得到的档案。只要按下对话框中的“接受”，该App就可以无碍存取用户所有信件内容、联络人、OneDrive上的档案等，完全无需账号密码。

研究人员指出，骇客是利用Office 365 Outlook可使用外挂的功能得逞。这另一个原因是，微软允许Office 365外挂和Office 365 App不需上架Office Store就可侧载（side load）借此回避任何安全审查。本例中，让骇客远端发送恶意App取得用户Office 365云端服务中所有资料，并利用SAML或OAuth协定，存取在单一签入体系统的其他系统。

分析发现，该插件是在去年11月底利用一家合法公司资讯建立，可能是该公司之前被骇入，而让骇客得以用开发人员账号来开发恶意插件。

研究人员说，用户发现后即使变更账号密码也没用，必须将该恶意插件和账号的连结才能防止资料外泄。

为避免日后再有类似的社交工程网钓信件，除了安装邮件安全软件外，安全公司建议管理员限制Office 365用户安装非官方Office Store或白名单以外的App的权利。同时也应加强使用者安全教育及公司应变措施。研究人员强调，传统清除病毒、变更密码或启动双因素验证等措施，并无法遏止这类攻击。