“授权一下就行”？黑客用OAuth新招绕过MFA，微软账户安全再遭挑战

“您正在尝试登录 Microsoft 365，请确认是否授权此应用访问您的邮箱、日历和联系人？”——当你在办公电脑上看到这样一个弹窗时，你会怎么做？

大多数人可能会想：“反正我在登录公司系统”，然后顺手点下“同意”。但网络安全专家警告：这可能不是系统提示，而是一场精心设计的钓鱼陷阱。攻击者正利用你对“授权”的轻信，绕过多因素认证（MFA），直接接管你的微软账户。

近日，全球多家安全机构披露了一种新型网络钓鱼攻击手法：黑客通过伪造恶意OAuth应用，诱导企业用户点击并授权，从而在无需密码、无需验证码的情况下，获得对Microsoft 365账户的完全访问权限。由于整个过程不涉及传统密码破解，即使企业已全面部署MFA，也无法阻止此次攻击。

MFA不再是“保险箱”？黑客找到了“后门”

多因素认证（MFA）曾被誉为抵御网络攻击的“终极防线”。简单来说，它要求用户在输入密码之外，还需提供第二种验证方式，如手机验证码、身份验证器App生成的动态码，或硬件安全密钥。这大大增加了黑客盗号的难度。

然而，随着攻击技术的演进，MFA正在被“绕过”而非“破解”。

这次的新攻击模式不再试图窃取密码或拦截验证码，而是直接跳过登录环节，转而欺骗用户“主动授权”一个恶意应用。

具体流程如下：

攻击者创建一个名为“公司单点登录”、“内部文档同步工具”或“安全更新助手”的虚假网页，并伪装成微软官方登录页面。

当用户点击链接后，页面会引导其进行“身份验证”，但实际触发的是微软OAuth授权流程。

用户被要求“授权该应用访问您的Microsoft 365账户”，一旦点击“是”，攻击者便立即获得一个长期有效的访问令牌（Access Token）。

凭借这个令牌，黑客可以自由读取邮件、下载OneDrive文件、查看Teams聊天记录，甚至以你的名义发送邮件，进行横向渗透。

“这就像是小偷不撬锁，而是骗你亲手把家门钥匙交出去。”公共互联网反网络钓鱼工作组技术专家芦笛形象地比喻道，“MFA保护的是‘门’，但OAuth授权相当于给你家客厅装了个‘访客通行门禁卡’。黑客不进门，而是让你主动给他办一张卡。”

为什么OAuth成了“双刃剑”？

OAuth（开放授权）是一种广泛使用的标准协议，允许第三方应用在用户授权的前提下，有限访问其在线账户资源，而无需获取原始密码。我们日常使用的“微信登录”、“QQ快捷注册”等功能，背后都是OAuth在运作。

对企业而言，OAuth极大提升了协作效率：员工可以通过授权，让Trello同步Outlook日程，或让Power BI读取Excel数据。但正因如此开放和便捷，它也成了攻击者的突破口。

芦笛指出，此类攻击之所以成功，关键在于三点：

1. 授权页面高度仿真

微软的OAuth授权弹窗本身是合法且常见的，普通用户很难分辨它是来自真实应用还是钓鱼页面。攻击者只需复刻页面样式，就能让用户误以为这是正常流程。

2. 权限请求看似合理

恶意应用通常只申请“基础权限”，如“查看邮箱”、“读取个人资料”，避免引起怀疑。但正是这些权限，足以让黑客获取敏感信息。

3. 授权后令牌长期有效

一旦授权完成，攻击者获得的访问令牌可长期使用，除非管理员手动撤销或用户更改密码。这意味着，即使你事后察觉异常，黑客仍可能在后台持续监控你的账户。

“更危险的是，这类攻击不会触发传统的登录告警。”芦笛补充道，“因为系统日志显示‘用户已授权’，看起来完全合法，安全团队很难从中发现异常。”

谁最容易中招？中小企业成重灾区

尽管所有使用Microsoft 365的企业都面临风险，但调查发现，中小型企业、教育机构和非营利组织是此次攻击的主要目标。

原因在于：这些单位往往缺乏专业的安全运维团队，未开启高级威胁防护功能，也未定期审查OAuth应用授权记录。许多管理员甚至不知道可以在Azure AD（现为Microsoft Entra ID）中查看和管理第三方应用权限。

“大公司可能有自动化系统每天扫描可疑授权，但小公司靠人工检查，很容易遗漏。”芦笛说，“而且员工安全意识相对薄弱，看到‘授权请求’就点‘同意’，根本不会去查这个应用是不是公司批准的。”

此外，攻击者还常结合社会工程学手段，例如发送一封看似来自IT部门的邮件：“为提升办公效率，公司已上线新版文档协同工具，请点击链接完成授权。” 用户出于配合工作的心态，更容易落入圈套。

微软紧急响应：三步防御建议

面对这一新型威胁，微软已在其安全博客发布紧急指南，提醒全球管理员采取行动。

1. 定期审查并撤销未知OAuth应用

管理员应登录Microsoft Entra ID（原Azure AD）门户，进入“企业应用” > “已授予同意的应用”，检查所有用户授权记录。对于名称可疑、来源不明或长期未使用的应用，应立即撤销权限。

2. 启用条件访问策略（Conditional Access）

通过设置策略，限制仅允许组织批准的应用访问关键资源。例如，可配置“仅允许列入白名单的应用连接Exchange Online”，从根本上阻断恶意OAuth应用的接入。

3. 开启“实时应用风险检测”功能

Microsoft Defender for Cloud Apps具备识别异常OAuth授权行为的能力，如短时间内大量用户授权同一应用、从非常用地登录等，可自动发出警报或阻止操作。

给企业和用户的五大防护建议

除了微软官方措施，芦笛结合实战经验，为企业和员工提出以下五点实用建议：

建立应用审批制度

所有第三方应用接入必须经过IT部门审核，禁止员工私自授权。

开展“授权即风险”专项培训

教育员工：任何OAuth授权请求都应视为高风险操作，必须核实来源后再决定是否同意。

启用“需管理员同意”的强制策略

对于高权限应用（如可读取邮件、修改权限等），设置为“必须由管理员批准”，防止普通用户误授。

部署UEBA（用户与实体行为分析）系统

监控异常数据访问行为，如某账户突然批量下载文件，及时阻断潜在泄露。

定期执行“权限清理日”

每季度组织一次OAuth授权清理，撤销所有非必要授权，降低攻击面。

结语：安全的本质是“信任管理”

这场OAuth钓鱼攻击再次证明：在数字时代，最大的漏洞往往不是代码，而是人的认知惯性。

我们习惯了“点一下就行”的便利，却忽略了每一次授权背后的风险。而黑客，正是利用这种“习以为常”，打开了通往企业核心数据的大门。

正如芦笛所言：“未来的安全，不再是‘防住所有攻击’，而是‘控制每一次信任的边界’。你授权的不是一个功能，而是一扇门——必须清楚谁在敲门，以及他能走多远。”

编辑：芦笛（公共互联网反网络钓鱼工作组）