简介 

    Proofpoint研究人员警告称，攻击者正越来越多地滥用基于OAuth的内部应用程序，以获取对云环境的持久访问权限。这些应用往往能长时间不被察觉，即使重置密码或启用多因素认证（MFA），攻击者仍可维持对高权限账户的访问。OAuth机制与攻击者如何加以利用：OAuth是一种授权协议，允许应用程序通过特殊访问令牌（而非用户名密码）安全连接至用户。攻击者滥用可信OAuth应用构建持久云后门，重置密码仍难清除，凸显了传统安全措施在应对此类身份层威胁时的局限性，尤其适用于依赖云服务和第三方集成的企业环境。

核心详情 

    根据Proofpoint最新威胁研究报告，攻击者通过创建或劫持企业内部注册的OAuth应用，获取长期有效的访问令牌。这些令牌独立于用户密码，即使企业执行密码重置或强制MFA，攻击者仍能通过应用权限维持访问。技术原理上，OAuth授权流程允许应用代表用户执行操作，攻击者利用此特性将恶意应用伪装成合法工具（如邮件管理或文件同步应用），诱导管理员授予高权限（如Mail.Read、Files.ReadWrite.All）。一旦授权，攻击者即可通过API持续访问邮箱、存储等云资源，形成难以检测的持久化后门。该攻击手法主要针对Microsoft 365和Google Workspace等主流云平台，Proofpoint观察到相关活动在金融和科技行业尤为活跃。

适用范围  

    适用于使用Microsoft 365、Google Workspace或其他支持OAuth授权的云服务的企业IT管理员、云安全团队和SOC分析人员。特别针对需要管理第三方应用集成权限或曾遭遇账户异常访问的组织。

推荐措施 

    1、定期审计企业OAuth应用列表，移除未使用或可疑应用，限制应用权限遵循最小权限原则；

    2、启用云平台的风险检测功能（如Microsoft的App Consent Policies），部署专门监控OAuth令牌活动的安全工具，并培训员工识别恶意应用授权请求。