隨著企業大規模遷移至雲端平台（如Microsoft 365, M365），基於OAuth的應用程式授權機制，在提供便利的互連服務的同時，也成為攻擊者鎖定並建立雲端持續性存取的隱蔽途徑。這種新型攻擊模式利用了組織對內部應用程式的固有信任，使得威脅能在密碼重設或MFA強制實施後，仍能維持對高價值資源的存取，對傳統資安防線構成了重大挑戰。

 

OAuth協議的濫用：存取權杖的雙面刃

OAuth 是一種授權協議，它允許應用程式使用特殊存取權杖而不是您的使用者名稱和密碼安全地連接到您的帳戶（例如 M365）。威脅行為者經常誘騙使用者授予惡意第三方（外部）OAuth 應用程式對其帳戶的存取權限。有時，攻擊者也會嘗試誘騙目標建立並共用授權碼，以便交換惡意 OAuth 應用程式使用的存取權杖。

OAuth設計初衷是安全地將權限委託給應用程式，避免暴露用戶的帳戶憑證。然而，攻擊者可以透過社會工程手段誘騙用戶同意授權惡意第三方應用程式，使其獲得存取用戶電子郵件、文件甚至行事曆的權限。然而，更具威脅和隱蔽性的攻擊手法，是針對第二方（內部）應用程式的濫用。

 

內部應用程式：被組織信任的隱蔽後門

攻擊者也會透過網路釣魚或密碼攻擊來破壞高權限（例如管理員）帳戶，然後使用這些帳戶建立新的或修改現有的第二方（內部）OAuth 應用程式來實現他們的目標。Proofpoint 研究人員解釋說，第二方應用程式直接在組織的租戶內註冊，通常由組織管理員或具有適當權限的使用者建立和管理。因此，它們本質上受到組織的信任，並且更難檢測。

一旦攻擊者破壞了如管理員等高特權帳戶，他們就能利用這些帳戶的權限在組織的租戶內註冊或修改應用程式。這些內部註冊的第二方應用程式，在Microsoft Entra ID（前Azure AD）的介面中看似合法的業務應用程式，極易與日常應用混淆。Proofpoint的研究中發現，攻擊者甚至可能使用像「test」這樣不引人注目的名稱來掩飾其惡意意圖。

透過這種方式，攻擊者創建的應用程式會以被盜用戶的身份作為註冊所有者，從而獲得存取、刷新和ID權杖。最關鍵的是，一旦獲得這些權杖，即使原始用戶帳戶的密碼被重設或MFA被強制，該應用程式仍能獨立運作並保持持續存取權限，形成了一個極難根除的雲端後門。

 

緩解與防範：培訓、監控與即時修復

面對這種高隱蔽性的威脅，單純的密碼或MFA防護已不足夠，組織必須結合用戶培訓、持續監控和快速應對機制：

建議組織培訓其用戶識別看似可信的惡意應用程式和租戶，將意外的同意請求視為可疑請求，並及時報告不尋常的應用程式授權。 如果發現這樣的應用程序，補救措施應包括撤銷客戶端機密和用戶令牌，以及刪除該應用程式。

組織應持續監控其內部業務線應用程式（line-of-business apps），並落實自動化的修復機制，以防止攻擊者建立持續性存取。一旦偵測到可疑或惡意的OAuth應用程式，必須迅速採取行動：不僅要刪除該應用程式，更要撤銷其客戶端機密（Client Secret）和所有相關用戶令牌（User Token），以徹底終止其存取能力，阻止攻擊者利用其發起進一步的攻擊。

資料來源：https://www.helpnetsecurity.com/2025/10/22/attackers-turn-trusted-oauth-apps-into-cloud-backdoors/