In breve
L'attaccante registra un'app OAuth denominata 'Adobe Acrobat' / 'Outlook Helper' / 'Teams Recorder' in Entra/Google. Un'email di phishing induce l'utente ad 'autorizzare' l'app, che ottiene così gli ambiti Mail.Read, Files.Read.All,...
Come funziona
L'attaccante registra un'app OAuth denominata 'Adobe Acrobat' / 'Outlook Helper' / 'Teams Recorder' in Entra/Google. Un'email di phishing induce l'utente ad 'autorizzare' l'app, che ottiene così gli ambiti Mail.Read, Files.Read.All,...
Indicatori rossi
- hai cliccato 'Consenti' su una richiesta di consenso che non ricordi pienamente
- la sezione 'App a cui hai concesso il consenso' di Microsoft 365 mostra un'app non familiare con ambiti ampi
- accessi insoliti da nuovi Paesi nel log di controllo
- regole di inoltro della casella di posta che non hai creato
- picco nel volume di chiamate all'API Graph. AZIONI: amministratori: imporre il consenso amministratore per gli ambiti di livello 3, disabilitare il consenso utente per le app non verificate; utenti: controllare regolarmente la sezione 'app connesse' su myaccount.microsoft.com / myaccount.google.com
Cosa fare
- 1Indicatori: 1) hai cliccato 'Consenti' su una richiesta di consenso che non ricordi pienamente; 2) la sezione 'App a cui hai concesso il consenso' di Microsoft 365 mostra un'app non familiare con ambiti ampi; 3) accessi insoliti da nuovi Paesi nel log di controllo; 4) regole di inoltro della casella di posta che non hai creato; 5) picco nel volume di chiamate all'API Graph.
- 2AZIONI: amministratori: imporre il consenso amministratore per gli ambiti di livello 3, disabilitare il consenso utente per le app non verificate; utenti: controllare regolarmente la sezione 'app connesse' su myaccount.microsoft.com / myaccount.google.com.
Fonte
Mandiant-OAuth-Abuse
Fonte verificata da Mythos Forensic Team
https://www.mandiant.com/resources/blog/FAQ
Concessione di consenso OAuth illecita — accesso silente alla casella di posta tramite app 'helper Adobe / Microsoft' e una truffa reale?
Si. Tratta messaggi, chiamate o richieste di pagamento come sospette finche non le verifichi da un canale ufficiale.
Quali sono i primi segnali?
hai cliccato 'Consenti' su una richiesta di consenso che non ricordi pienamente; la sezione 'App a cui hai concesso il consenso' di Microsoft 365 mostra un'app non familiare con ambiti ampi; accessi insoliti da nuovi Paesi nel log di controllo
Cosa devo fare subito?
Indicatori: 1) hai cliccato 'Consenti' su una richiesta di consenso che non ricordi pienamente; 2) la sezione 'App a cui hai concesso il consenso' di Microsoft 365 mostra un'app non familiare con ambiti ampi; 3) accessi insoliti da nuovi Paesi nel log di controllo; 4) regole di inoltro della casella di posta che non hai creato; 5) picco nel volume di chiamate all'API Graph.; AZIONI: amministratori: imporre il consenso amministratore per gli ambiti di livello 3, disabilitare il consenso utente per le app non verificate; utenti: controllare regolarmente la sezione 'app connesse' su myaccount.microsoft.com / myaccount.google.com.
LegalAudit puo controllare il mio caso?
Si. Apri la chat gratis e incolla messaggio, link, mittente o dati di pagamento per un triage.