আক্রমণকারীরা স্প্যাম ছড়ানোর লক্ষ্যে মাইক্রোসফট এক্সচেঞ্জ সার্ভার দখলের লক্ষ্যে আপোসকৃত ক্লাউড ভাড়াটেদের উপর দূষিত OAuth অ্যাপ্লিকেশন স্থাপন করছে।
এটি মাইক্রোসফ্ট 365 ডিফেন্ডার রিসার্চ টিম অনুসারে, যা এই সপ্তাহে বিস্তারিত জানায় যে কীভাবে উচ্চ-ঝুঁকিপূর্ণ অ্যাকাউন্টগুলির বিরুদ্ধে শংসাপত্র-স্টাফিং আক্রমণগুলি চালু করা হয়েছে যেগুলিতে মাল্টিফ্যাক্টর প্রমাণীকরণ (MFA) সক্ষম নেই, তারপরে প্রাথমিক অ্যাক্সেস পেতে অসুরক্ষিত প্রশাসক অ্যাকাউন্টগুলিকে কাজে লাগানো হয়েছে৷
আক্রমণকারীরা পরবর্তীতে একটি দূষিত OAuth অ্যাপ তৈরি করতে সক্ষম হয়েছিল, যা ইমেল সার্ভারে একটি দূষিত ইনবাউন্ড সংযোগকারী যোগ করেছে।
পরিবর্তিত সার্ভার অ্যাক্সেস
"এক্সচেঞ্জ সার্ভার সেটিংসে এই পরিবর্তনগুলি হুমকি অভিনেতাকে আক্রমণে তাদের প্রাথমিক লক্ষ্য সম্পাদন করার অনুমতি দিয়েছে: স্প্যাম ইমেল পাঠানো," গবেষকরা উল্লেখ করেছেন একটি ব্লগ পোস্টে 22 সেপ্টেম্বর। "স্প্যাম ইমেলগুলি একটি প্রতারণামূলক সুইপস্টেক স্কিমের অংশ হিসাবে পাঠানো হয়েছিল যার অর্থ প্রাপকদের পুনরাবৃত্ত অর্থপ্রদানের সদস্যতার জন্য সাইন আপ করার জন্য প্রতারণা করা।"
গবেষণা দলটি উপসংহারে পৌঁছেছে যে হ্যাকারের উদ্দেশ্য ছিল সুইপস্টেক সম্পর্কে বিভ্রান্তিকর স্প্যাম বার্তা ছড়িয়ে দেওয়া, শিকারদের ক্রেডিট কার্ডের তথ্য হস্তান্তর করতে প্ররোচিত করা একটি পুনরাবৃত্ত সদস্যতা সক্ষম করার জন্য যা তাদের "পুরস্কার জেতার সুযোগ" প্রদান করবে।
"যদিও এই স্কিমটি লক্ষ্যমাত্রার জন্য অবাঞ্ছিত চার্জের ফলস্বরূপ, শংসাপত্রের ফিশিং বা ম্যালওয়্যার বিতরণের মতো প্রকাশ্য নিরাপত্তা হুমকির কোন প্রমাণ ছিল না," গবেষণা দল উল্লেখ করেছে।
পোস্টটি আরও উল্লেখ করেছে যে দূষিত অভিনেতাদের একটি ক্রমবর্ধমান জনসংখ্যা বিভিন্ন প্রচারাভিযানের জন্য OAuth অ্যাপ্লিকেশনগুলি স্থাপন করছে, ব্যাকডোর এবং ফিশিং আক্রমণ থেকে শুরু করে কমান্ড-এন্ড-কন্ট্রোল (C2) যোগাযোগ এবং পুনঃনির্দেশ।
মাইক্রোসফ্ট এমএফএ-এর মতো সুরক্ষা অনুশীলনগুলি বাস্তবায়নের সুপারিশ করেছে যা অ্যাকাউন্টের শংসাপত্রগুলিকে শক্তিশালী করে, সেইসাথে শর্তাধীন অ্যাক্সেস নীতি এবং ক্রমাগত অ্যাক্সেস মূল্যায়ন (CAE)।
"যদিও ফলো-অন স্প্যাম প্রচারাভিযানটি ভোক্তা ইমেল অ্যাকাউন্টগুলিকে লক্ষ্য করে, এই আক্রমণটি এন্টারপ্রাইজ ভাড়াটেদের এই প্রচারণার জন্য অবকাঠামো হিসাবে ব্যবহার করার জন্য লক্ষ্য করে," গবেষণা দল যোগ করেছে। "এই আক্রমণ এইভাবে নিরাপত্তা দুর্বলতাগুলিকে প্রকাশ করে যা অন্যান্য হুমকি অভিনেতাদের দ্বারা আক্রমণে ব্যবহার করা যেতে পারে যা সরাসরি প্রভাবিত উদ্যোগগুলিকে প্রভাবিত করতে পারে।"
MFA সাহায্য করতে পারে, কিন্তু অতিরিক্ত অ্যাক্সেস কন্ট্রোল নীতি প্রয়োজন
“যদিও এমএফএ একটি দুর্দান্ত শুরু এবং এই ক্ষেত্রে মাইক্রোসফ্টকে সাহায্য করতে পারে, আমরা সম্প্রতি খবরে দেখেছি যে সব MFA একই নয়,” নোট করেছেন ডেভিড লিন্ডনার, কনট্রাস্ট সিকিউরিটির সিআইএসও৷ "একটি নিরাপত্তা সংস্থা হিসাবে, এখন সময় এসেছে আমরা 'ইউজারনেম এবং পাসওয়ার্ড আপস করা হয়েছে' থেকে শুরু করি এবং এর চারপাশে নিয়ন্ত্রণ তৈরি করি।"
লিন্ডনার বলেছেন যে নিরাপত্তা সম্প্রদায়কে কিছু মৌলিক বিষয় দিয়ে শুরু করতে হবে এবং উপযুক্ত, ব্যবসা-চালিত, ভূমিকা-ভিত্তিক অ্যাক্সেস নিয়ন্ত্রণ নীতি তৈরি করতে ন্যূনতম বিশেষাধিকারের নীতি অনুসরণ করতে হবে।
"আমাদের উপযুক্ত প্রযুক্তিগত নিয়ন্ত্রণ যেমন এমএফএ - FIDO2 আপনার সেরা বিকল্প হিসাবে সেট করতে হবে - ডিভাইস-ভিত্তিক প্রমাণীকরণ, সেশন টাইমআউট ইত্যাদি," তিনি যোগ করেন।
সবশেষে, সংস্থাগুলিকে "অসম্ভব লগইন" (অর্থাৎ, বোস্টন এবং ডালাস থেকে একই অ্যাকাউন্টে লগইন করার প্রচেষ্টা, যা 20 মিনিটের ব্যবধানে) এর মতো অসঙ্গতির জন্য নিরীক্ষণ করতে হবে; পাশবিক শক্তি প্রচেষ্টা; এবং ব্যবহারকারী অননুমোদিত সিস্টেম অ্যাক্সেস করার চেষ্টা করে।
"আমরা এটি করতে পারি, এবং আমরা আমাদের প্রমাণীকরণ প্রক্রিয়াগুলিকে শক্ত করে রাতারাতি একটি সংস্থার সুরক্ষা ভঙ্গি ব্যাপকভাবে বৃদ্ধি করতে পারি," লিন্ডনার বলেছেন।
