文章总结： 微软警告攻击者利用OAuth协议重定向机制进行网络钓鱼和恶意软件传播，攻击者通过构造错误登录参数使合法身份验证服务将用户重定向至恶意网站，并进一步通过下载恶意文件入侵系统。微软建议密切监控应用授权并定期审查访问权限。 综合评分： 95 文章分类： 漏洞分析,应急响应,社会工程学

微软警告不要信任来自微软的链接。这听起来像个笑话，但政府机构现在可笑不出来

c0nsen c0nsen

开源情报技术研究院

2026年4月11日 10:48 北京

在小说阅读器读本章

去阅读

要求“签署文件”或“确认账户”的电子邮件可能并非指向虚假网站，而是指向合法的微软或谷歌地址。攻击者正是利用了这种信任，学会了利用 OAuth 协议的重定向机制进行网络钓鱼和恶意软件传播。

微软研究人员记录了针对政府机构和公共部门组织的攻击活动。这些攻击的核心在于OAuth内置的一项功能，该功能允许身份验证服务在特定情况下（例如登录错误）将用户重定向到指定地址。攻击者并未入侵账户或窃取访问令牌，而是利用了该协议规则中规定的漏洞，为己所用。

该攻击计划始于攻击者在其基础设施上创建一个恶意应用程序。该应用程序的设置包括一个重定向地址，指向一个受控域名，该域名上托管着一个包含恶意载荷的钓鱼页面或文件。随后，受害者会收到一封电子邮件，其中包含一个看似正常的登录请求链接，该请求使用诸如 Microsoft Entra ID 或 Google 帐户之类的身份验证系统。

该链接被故意注入了错误的参数，例如不存在的访问范围和“不显示界面”模式。这种组合必然会导致登录错误。根据OAuth规则，在这种情况下，身份验证服务会将浏览器重定向到预先指定的地址，并附带错误描述。因此，用户最初看到的是合法的微软或谷歌域名，然后被自动重定向到攻击者的网站。

这些邮件使用了常见的邮件主题：电子签名、验证文件、人事通知、Teams 会议邀请、密码重置或社保相关事宜。有时，链接隐藏在 PDF 文件中，邮件正文没有任何内容。在某些情况下，受害者的电子邮件地址被作为“state”参数传递，并以普通字符串、十六进制或 Base64 编码的形式呈现，以便自动插入到钓鱼页面中，从而增强其可信度。

重定向后，一些攻击活动会将用户引导至诸如EvilProxy之类的经典钓鱼网站，这些网站会拦截凭据和会话文件。在其他情况下，攻击会进一步发展到设备感染。用户会被重定向到类似 /download/XXXX 的页面，并自动下载 ZIP 压缩包。

该压缩包包含一个 LNK 快捷方式和一些辅助文件。打开后，快捷方式会启动 PowerShell，PowerShell 会使用 ipconfig 和 tasklist 等命令收集系统信息，然后解压 steam_monitor.exe 可执行文件和 crashhandler.dll 库。合法文件运行后，会使用 DLL 替换方案加载恶意库。该库会解密附加组件，并与命令与控制服务器建立连接。攻击者随后便能入侵系统并获得手动控制权限。

微软报告称，Microsoft Defender安全机制在电子邮件、帐户和终端级别检测到可疑活动。在 Entra ID 中检测到的恶意 OAuth 应用已被禁用，但类似活动仍在继续。因此，该公司建议密切监控应用授权，定期审查访问权限，并移除未使用或冗余的集成。

这些攻击并非基于软件漏洞，而是利用了 OAuth 标准的特性，这些特性在 RFC 6749 及后续文档中有所描述。该协议允许在身份验证错误时进行重定向。攻击者会故意触发此类错误，并利用用户对主流身份验证提供商域的信任来绕过过滤器，从而在不被察觉的情况下将用户引导至恶意资源。随着针对密码窃取和多因素身份验证绕过措施的保护力度不断加大，攻击目标也越来越多地转向信任机制和协议本身的行为。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：开源情报技术研究院 c0nsen c0nsen《微软警告不要信任来自微软的链接。这听起来像个笑话，但政府机构现在可笑不出来》