Def et Fonctionnement :

Pour réaliser du phishing sur des comptes Office 365, il existe deux types principaux d'attaques principale : les forged login pages et les OAuth Consent. Récement, une nouvelle méthode de avec un code d'authentification existe désormais.

Exploitation :

Forged Login Pages :

Tool : EvilGinx

C'est la méthode de phishing la plus commune. Le but étant de faire un phishing classique avec une page d'authentification copié d'un service légitime. Le shéma ci-dessus résume bien la situation.

OAuth Consent :

Tool : o365-Stealer

Ici, le but est de créer une application factice qui copie une app véritable. Cette application factice demande de nombreuses autorisations sur le compte microsoft de la victime.

Device code authentification :

Prérequis : avoir une machine compromise sur lequel un utilisateur va se connecter
Objectif : obtenir un compte AAD
Le processus de la verification est le suivant est le suivant :
Comment le hacker ?
L'objectif est se connecter au device, et d'envoyer un client_id,ressource à l'Azure AD (échange 2). Après avoir reçu 3, on va envoyer un email avec un lien vers verification_uri, la victime click sur ce lien et complète ensuite le sign in avec le code reçu par téléphone par exmple.
On obtient alors l'access tocket et le refresh token et peut donc copie la victime.

Ressource : https://aadinternals.com/post/phishing/