【安全资讯】微软警告：攻击者滥用OAuth重定向功能传播恶意软件

概要：

在数字化时代，身份验证协议的安全性至关重要。微软近期发出警告，揭露了一起持续进行的网络钓鱼活动，攻击者通过滥用OAuth协议的重定向功能，将政府及公共部门的用户诱导至恶意网站，进而传播恶意软件并控制其设备。这一事件凸显了即使是最常见的授权标准也可能被恶意利用，对组织安全构成严重威胁。

主要内容：

微软安全团队发现，攻击者通过发送包含虚假电子签名请求、Teams会议录音访问链接或密码重置指示的钓鱼邮件，诱骗用户点击恶意链接。这些链接利用了OAuth协议中允许身份提供商在某些错误场景下将用户重定向到特定页面的合法功能。

攻击者精心构造了包含错误参数的OAuth授权请求URL，例如在scope参数中设置无效值，以触发登录错误。当用户被重定向时，他们会进入攻击者控制的钓鱼即服务（如EvilProxy）网站，或直接下载恶意ZIP压缩包。

恶意负载通常包含LNK快捷文件和HTML走私加载器。LNK文件会执行PowerShell命令进行系统侦察，然后通过侧加载技术，滥用合法的steam_monitor.exe进程加载恶意DLL（crashhandler.dll）。该DLL解密并执行内存中的最终有效载荷，建立与外部C2服务器的连接。

尽管微软已禁用相关的恶意OAuth应用程序，但此类活动仍在持续。攻击者利用其控制的应用程序重定向URI，可以快速更换被安全过滤器封锁的域名，增加了防御难度。此次事件主要针对政府及公共部门，展示了网络犯罪手段的不断演变。