Phát hiện thủ đoạn mới giúp tin tặc kiểm tra tài khoản Microsoft mà không cần đăng nhập

vnrcraw2
Trương Cẩm Tú
Phản hồi: 0
Kẻ tấn công đang ngày càng lạm dụng các mã định danh ứng dụng OAuth giả mạo để liệt kê tài khoản Microsoft Entra ID, kiểm tra thông tin đăng nhập và phân tán hoạt động xác thực trên hàng trăm nghìn đến hàng triệu ứng dụng giả. Theo Proofpoint, kỹ thuật này đang nổi lên như một xu hướng mới trong các chiến dịch tấn công nhằm vào môi trường điện toán đám mây. Kỹ thuật trên khai thác cách Microsoft Entra ID xử lý tham số client_id trong các yêu cầu xác thực OAuth. Mỗi ứng dụng OAuth sau...

Đọc bài gốc tại đây
 


Đăng nhập một lần thảo luận tẹt ga
Back
Top