駭客濫用合法的 OAuth 重定向機制，繞過電子郵件和瀏覽器中的網路釣魚保護措施，將使用者引導至惡意頁面。微軟 Defender 研究人員表示，這些攻擊的目標是政府和公共部門組織，透過釣魚連結誘使用戶對惡意應用程式進行身份驗證。

例如，電子簽名請求、社保通知、會議邀請、密碼重置，以及各種包含 OAuth 重定向 URL 的金融和政治主題郵件。有時，這些 URL 會被嵌入到 PDF 文件中以逃避檢測。
強制進行冒險轉向

OAuth 應用程式向身分提供者（例如 Microsoft Entra ID）註冊，並利用 OAuth 2.0 協定取得使用者資料和資源的委託或應用程式層級存取權限。在微軟觀察到的攻擊活動中，攻擊者在他們控制的租戶中創建惡意 OAuth 應用程序，並配置重定向 URI 指向他們的基礎設施。

研究人員指出，即使Entra ID的URL看起來像是合法的授權請求，但該端點呼叫時使用的參數卻是用於靜默身份驗證，無需交互式登錄，並且作用域無效，從而觸發身份驗證錯誤，這迫使身分識別提供者將使用者重定向到攻擊者配置的重定向URI。

在某些情況下，受害者會被重定向到由中間人攻擊框架（例如 EvilProxy）驅動的網路釣魚頁面，這些框架可以攔截有效的會話 cookie 以繞過多因素身份驗證 (MFA) 保護。

微軟發現，「state」參數被濫用，用於在釣魚頁面的憑證框中自動填充受害者的電子郵件地址，從而增強了人們感知到的合法性。

在其他情況下，受害者會被重新導向到「/download」路徑，該路徑會自動提供一個包含惡意捷徑 (.LNK) 檔案和 HTML 走私工具的 ZIP 檔案。開啟 .LNK 檔案會啟動 PowerShell，它會對受感染的主機執行偵察，並提取下一步（DLL 側載入）所需的元件。

惡意 DLL（crashhandler.dll）解密並將最終有效載荷（crashlog.dat）加載到記憶體中，而合法的可執行檔（stream_monitor.exe）則載入誘餌來分散受害者的注意力。

微軟建議各組織應加強對 OAuth 應用程式的權限控制，強制執行強大的身分保護和條件存取策略，並在電子郵件、身分和終端中使用跨網域偵測。

該公司強調，觀察到的攻擊是基於身分的威脅，濫用了 OAuth 框架中預期的行為，該行為按照定義如何透過重定向來管理授權錯誤的標準進行。研究人員警告說，威脅行為者現在正透過無效參數（例如 `  scope OAuth` 或 `OAuth`） 觸發 OAuth 錯誤，prompt=none, 以強制執行靜默錯誤重定向，作為現實世界攻擊的一部分。

資料來源：https://www.bleepingcomputer.com/news/security/microsoft-hackers-abuse-oauth-error-flows-to-spread-malware/