Angreifer implementieren bösartige OAuth-Anwendungen auf kompromittierten Cloud-Mandanten mit dem Ziel, Microsoft Exchange-Server zu übernehmen und Spam zu verbreiten.
Das geht aus dem Forschungsteam von Microsoft 365 Defender hervor, das diese Woche ausführlich darlegte, wie Credential-Stuffing-Angriffe gegen Hochrisikokonten gestartet wurden, bei denen die Multifaktor-Authentifizierung (MFA) nicht aktiviert war, und wie dann ungesicherte Administratorkonten ausgenutzt wurden, um ersten Zugriff zu erhalten.
Anschließend konnten die Angreifer eine bösartige OAuth-App erstellen, die dem E-Mail-Server einen bösartigen Eingangskonnektor hinzufügte.
Geänderter Serverzugriff
„Diese Änderungen an den Exchange-Servereinstellungen ermöglichten es dem Bedrohungsakteur, sein primäres Ziel des Angriffs zu erreichen: das Versenden von Spam-E-Mails“, stellten die Forscher fest in einem Blog-Post am 22. September. „Die Spam-E-Mails wurden im Rahmen eines betrügerischen Gewinnspielprogramms verschickt, mit dem die Empfänger dazu verleitet werden sollten, sich für wiederkehrende kostenpflichtige Abonnements anzumelden.“
Das Forschungsteam kam zu dem Schluss, dass das Motiv des Hackers darin bestand, irreführende Spam-Nachrichten über Gewinnspiele zu verbreiten und die Opfer dazu zu bewegen, Kreditkarteninformationen preiszugeben, um ein wiederkehrendes Abonnement zu ermöglichen, das ihnen „die Chance auf einen Preis“ bieten würde.
„Während der Plan wahrscheinlich zu unerwünschten Belastungen bei den Zielen führte, gab es keine Hinweise auf offensichtliche Sicherheitsbedrohungen wie Anmeldedaten-Phishing oder Malware-Verbreitung“, stellte das Forschungsteam fest.
In dem Beitrag wurde auch darauf hingewiesen, dass eine wachsende Zahl böswilliger Akteure OAuth-Anwendungen für verschiedene Kampagnen einsetzt, von Hintertüren und Phishing-Angriffen bis hin zu Command-and-Control-Kommunikation (C2) und Umleitungen.
Microsoft empfahl die Implementierung von Sicherheitspraktiken wie MFA, die die Kontoanmeldeinformationen stärken, sowie Richtlinien für bedingten Zugriff und kontinuierliche Zugriffsbewertung (Continuous Access Evaluation, CAE).
„Während die nachfolgende Spam-Kampagne auf E-Mail-Konten von Verbrauchern abzielt, zielt dieser Angriff auf Unternehmensmieter ab, die als Infrastruktur für diese Kampagne genutzt werden sollen“, fügte das Forschungsteam hinzu. „Dieser Angriff deckt somit Sicherheitslücken auf, die von anderen Bedrohungsakteuren für Angriffe ausgenutzt werden könnten, die sich direkt auf betroffene Unternehmen auswirken könnten.“
MFA kann helfen, es sind jedoch zusätzliche Zugriffskontrollrichtlinien erforderlich
„Während MFA ein toller Anfang ist und Microsoft in diesem Fall hätte helfen können, haben wir das kürzlich in den Nachrichten gesehen Nicht alle MFA sind gleich“, bemerkt David Lindner, CISO bei Contrast Security. „Als Sicherheitsorganisation ist es an der Zeit, dass wir mit der Aussage ‚Benutzername und Passwort sind kompromittiert‘ beginnen und Kontrollen darauf aufbauen.“
Laut Lindner muss die Sicherheitsgemeinschaft mit einigen Grundlagen beginnen und dem Prinzip der geringsten Rechte folgen, um geeignete, geschäftsorientierte, rollenbasierte Zugriffskontrollrichtlinien zu erstellen.
„Wir müssen geeignete technische Kontrollen wie MFA – FIDO2 als beste Option – gerätebasierte Authentifizierung, Sitzungs-Timeouts usw. einrichten“, fügt er hinzu.
Schließlich müssen Unternehmen auf Anomalien wie „unmögliche Anmeldungen“ achten (z. B. Anmeldeversuche bei demselben Konto aus Boston und Dallas, die 20 Minuten auseinander liegen). Brute-Force-Versuche; und Benutzerversuche, auf nicht autorisierte Systeme zuzugreifen.
„Wir können es schaffen und die Sicherheitslage einer Organisation über Nacht erheblich verbessern, indem wir unsere Authentifizierungsmechanismen verschärfen“, sagt Lindner.
