据悉，钓鱼攻击正在滥用微软 Azure 静态 Web 应用服务，窃取微软、Office 365、Outlook 和 OneDrive 的凭证。

Azure 静态 Web 应用是微软的一项服务，可从代码存储库自动生成完整的堆栈 Web 应用，并将其部署到 Azure。它允许开发人员使用自定义域名来标记 web 应用程序，并为 HTML、CSS、JavaScript 和图像等静态内容提供 web 托管。

安全研究人员 MalwareHunterTeam 发现，威胁行为者注意到，可以很容易地将自定义域名标记 web 应用程序和 web 托管功能用于静态登录的钓鱼网页，并且正在积极利用微软的服务来攻击微软、Office 365、Outlook 和 OneDrive 的用户。

如下图所示，这些网络钓鱼活动中使用的一些登录页面看起来几乎与微软的官方页面一模一样。

Azure 静态 Web 应用网络钓鱼页面

Azure 静态 Web 应用增加了合法性

使用 Azure 静态 Web 应用平台来针对微软用户是一个很好的策略。因为拥有 *.1.azurestaticapps.net 通配符 TLS 证书，每个登录页面都会自动在地址栏中获得安全锁。在看到微软 Azure TLS Issuing CA 05 颁发给 *.1.azurestaticapps.net 的证书后，潜在的受害者会相信这是微软的官方登录页面。合法的微软 TLS 证书给此类登录页面遮上了虚假的安全面纱，也成为了针对 Rackspace、AOL、雅虎等其他平台用户的有用的工具。

*.1.azurestaticapps.net 通配符 Microsoft TLS 证书

建议在登录页面中填写账户时，仔细检查 URL，以此来检测您是否被网络钓鱼攻击针对。但是，滥用 Azure 静态 Web 应用的网络钓鱼活动使这个建议变得几乎毫无价值，因为许多用户会被 azurestaticapps.net 子域和 TLS 证书所欺骗。

据悉，微软的服务并不是第一次被用来进行网络钓鱼攻击，其 Azure Blob 存储提供的 *.blob.core.windows.net 通配符证书也曾被用来针对 Office 365 和 Outlook 的用户。

声明：本文相关资讯来自wangan.com，版权归作者：E安全所有，转载目的在于传递更多信息。如有侵权，请联系本站删除。

最新资讯

工信部：推动建立工业互联网安全分类分级管理制度

电子签名助力企业数字化转型，怎么签署电子签名你知道吗？

网络钓鱼事件频发，网络安全须重视，如何防范网络钓鱼攻击？

CA/B论坛新规：9月1日起弃用SSL证书中的 OU字段

俄乌冲突凸显网络对抗加剧：“热战”之前网络战先行

标签推荐：数字证书申请 | 域名ssl证书 | https证书申请| 数字证书过期| 网站证书安装| 可靠的ssl证书| 小程序证书| ca认证电子签名| 微软代码签名| android数字签名| java代码签名| ssl证书部署| 时间戳技术| 电子签名技术| https证书配置| 谷歌浏览器证书| tomcat数字证书| openssl漏洞| ECC加密算法| 服务器SSL证书| 链路层劫持| 物联网安全技术| 火狐插件签名证书