恶意Office 365应用程序是终极的内部人员

针对Microsoft Office 365用户的Phishers越来越越来越多地转向专门的链接，将用户带到其组织自己的电子邮件登录页面。用户登录后，链接会提示他们安装一个恶意但无数命名的应用程序，该应用程序为攻击者持久地提供对您的任何用户的电子邮件和文件的无密码访问，两者都被窃取以启动恶意软件和网络钓鱼诈骗反对其他人。

这些攻击以电子邮件链接开头，当单击加载时不是网络钓鱼站点，而是用户的实际Office 365登录页面 - 无论是在Microsoft.com还是雇主的域。登录后，用户可能会看到一个提示，看起来像这样：

这些恶意应用程序允许攻击者绕过多因素身份验证，因为用户已在该用户已登录后由用户批准。此外，该应用程序将在用户的办公室365账户中持续，直到删除，即使在帐户之后也会存活重设密码。

本周，消息传递安全供应商校对点发布了一些关于这些恶意办公室365应用程序的崛起的新数据，注意到这方案的高百分比将属于此计划[完整披露：校对点是本网站上的广告商]。

Ryan Kalember，校样点的执行副总裁网络安全战略表示，该公司的55％的客户面临着一点或另一点的恶意应用攻击。

“那些被袭击的人，大约22％ - 或者五分之一 - 成功地妥协，”康贝罗说。

Kalember表示，微软去年通过创建App Publisher验证系统来限制这些恶意办公应用程序的传播，该系统要求发布者成为有效的Microsoft伙伴网络成员。

批准过程对攻击者繁琐，因此他们已经设计了一个简单的工作。 “现在，他们首先在可信的租户中妥协账户，”校对点解释说。 “然后，他们正在创建，托管和传播云恶意软件。”

负责部署这些恶意Office应用程序的攻击者不是密码之后，并且在这种情况下，他们甚至无法看到它们。相反，他们希望在登录用户后，将在批准将恶意但无数名为名为App的安装批准到其Office365帐户中。

kalember表示，这些恶意应用程序背后的骗子通常使用任何受损的电子邮件帐户来进行“商业电子邮件妥协”或欺诈，这涉及欺骗欺诈，这些欺诈涉及从一个组织的权威的人欺骗电子邮件，并要求支付虚拟发票。其他用途包括从受害者的电子邮件帐户发送恶意软件电子邮件。

去年，校对点在网络犯罪分子地下写下了一个服务，客户可以在没有用户名或密码的情况下访问各种办公室365帐户。该服务还宣传了基于所选关键字提取和过滤电子邮件和文件的能力，以及将恶意宏附加到用户Microsoft Onedrive中的所有文档。

“如果您有办公室365，则不需要僵尸网络，如果您有这些[恶意]应用程序，则不需要恶意软件，”Kalember表示。 “这更容易，这是绕过多因素认证的好方法。”

KrebsoneEchurity首次在1月2020年发布了这一趋势。该故事引用了微软称，虽然运行Office 365的组织可以使一个设置来限制用户安装应用程序，但“严重损害您的用户的急剧步骤”是“剧烈的一步”与第三方应用程序有效。“

从那时起，Microsoft添加了一个策略，允许Office 365管理员阻止用户同意来自非验证发布者的应用程序。此外，2020年11月8日之后发布的申请与同意屏幕发布，以防出版商未经验证，租户政策允许同意。

Microsoft在办公室365中检测和删除非法同意授权的说明在此处。

校样点表示O365管理员应该限制或阻止哪些非管理员可以创建应用程序，并启用Microsoft的已验证发布者策略 - 因为大多数云恶意软件仍来自非Microsoft合作伙伴网络的Office 365租户。专家表示，确保您有安全记录也很重要，以便在员工将新软件引入基础架构时生成警报。

像往常一样好的文章，谢谢Brian的信息。有一个有关此最后一位的信息链接会说明O365管理员应该限制或阻止哪些非管理员可以创建应用程序，并启用Microsoft的验证发布者策略“所以我知道锄头启用这些选项。我知道，谷歌ID我的朋友，只是很高兴有一个链接来走向解决方案。 🙂

这是惊人的，仍然是多么不成熟的云计算。 o365的控制缺乏对此是我一直在努力迁移到“云”的愿望的原因之一，而无需了解缺乏对低级权限的洞察力（供应商甚至不够理解的）创造安全性比粪便上的蛆虫更多。我们可能需要更多的员工进行预订，但至少我们还有深入了解所有基础设施，而不是在试图为数千名公司提供服务的供应商中的所有基础设施，以及所有层间租户分享有关硬件和虚拟网络的层次并将有错误，允许演员访问不会发生在Prem上。有一天与这些弱云产品可以且将花费一家公司，这是他们整个业务的人。

控制在那里。默认情况下，它们刚刚关闭。这也类似于大量的预估安全解决方案。云安全通常被吹捧，好像它都节省成本并且没有工作。它需要全职人员有效管理。我告诉主管，云很好，但我们只是将我们的工程师从传统IT安全性改变到云安全。我们需要培训并证明我们的人民与云合作......这只是别人拥有的数据中心，其中一堆增加了抽象层来通过。

这是可怕的，我的手机甚至没有工作，再等待新的手机来自保修声明，我不是技术。聪明的愿望我是，但应该有一些东西来帮助消费者，也可以找到这些黑客和amp;曾经摆脱过一次，这是美国上帝的缘故，是的，是没有人保护我们的网格，所以现在我们有俄罗斯，中国和塔利班去我们的网格并采取和做任何他们想要的东西，因为没有人美国甚至守卫着我们的网格，这些人并不愚蠢，但我们是。

阅读这本书“这就是他们如何告诉我世界结束：网络武器军备竞赛”，由妮可柏拉树。你可能不会被安慰，但至少你会更好地了解。继续阅读克雷布斯。开始阅读nytimes和华盛顿邮报。

我们需要与Microsoft文档的链接有关如何发现这些启用并删除它们。

我在大约18个月前写了关于这个，并没有得到很多关注。有很多问题。那时候默认是，每个人都可以给第三方访问他们可以访问的一切。很坏。在商店中列出了Microsoft的Office插件，可以访问当前的电子邮件，但该应用程序要求读取所有电子邮件的许可。所以显然在这里没有对齐的东西。

我们拥有给王国的钥匙的用户，不记得它。那些通常不再使用该应用程序的人了。我们有人们使用统一收件箱应用程序的谷歌间谍活动，由普通的俄罗斯甚至是普罗斯的Pals之一。它从荷兰代表用户阅读邮件（所以它看起来有点像我们看到的Microsoft交际的活动）。因此，每封邮件都被读取和俄罗斯人存储。认为Android应用程序有10多个MIO下载，同一家公司拥有3-4个以相同风格的应用程序，以及MECCA方向查找器（1 MIO下载） - 可能允许俄罗斯跟踪风险穆斯林。对我来说，这增加了俄罗斯政府进入这个的信心。

Microsoft默认情况下实现了禁止用户批准，某种方式请求批准，以及允许用户在不获取数据访问的情况下自批准OpenID登录的管理权限。所以他们走了很长的路。

仍有许多问题，但如果您使用要求偏执的安全管理员批准东西的声音策略，一切都很好。但私人用户/不含AzUread的用户面临风险。他们没有偏执律司法员的人保护它们。

对我来说，这是一个明显的网络钓鱼安装...它在SharePoint链接中没有Microsoft说微张。

微软发布了一些有帮助的东西是令人震惊的，猜猜他们是最重要的，而不是在8球后面落后于8球：//docs.microsoft.com/en-us/security/compass/incident-response-play-play/incident-response-playpocks

除此文件外，只显示一旦您怀疑有安全事件，如何调查某些内容。 如何在锁定环境中，给出指令以防止它发生？ 这与Office365的家庭用户有何相关？ 我只安装了一台电脑，安装了O365。 我读的大多数方向提到了系统管理员执行系统日志等的审查。