微软表示，OAuth被用来控制Exchange服务器并传播垃圾邮件 媒体

微软安全团队警告：OAuth 应用程序滥用引发邮箱攻击

关键要点

微软最近在其安全博客中详细介绍了一起攻击事件，黑客通过恶意的 OAuth 应用程序对云租户实施了攻击，并控制了 Exchange Online 设置，最终目的是传播垃圾邮件。

攻击者通过使用凭证填充攻击获得初始访问权限，受害者主要是那些没有启用多因素身份验证且拥有管理员角色的账户，这些凭证极有可能来自已泄露的凭证数据集。根据 Microsoft 365 Defender Research Team 的报告，微软的调查显示，86 的受损租户至少有一个管理员账户被 Azure AD 身份保护标记为高风险，并指出启用 MFA 可能会阻止此次攻击。

攻击链：恶意行为者如何获得 Microsoft Exchange 服务器的访问权限以发送垃圾邮件。

攻击者进一步利用 PowerShell 脚本创建了一个恶意的 开放授权 (OAuth) 应用程序，在电子邮件服务器中添加了一个恶意的入站连接器，并利用这个连接器发送伪装成目标域的垃圾邮件。

“攻击者的动机是传播旨在欺骗收件人的虚假抽奖垃圾邮件，诱使他们提供信用卡信息并在获得有价值奖项的幌子下签订定期订阅。”

欲了解更多关于攻击的详细信息和建议的应对措施，请查看 Microsoft 365 Defender Research Team 的 帖子。