Οι κυβερνοεπιτιθέμενοι παραβιάζουν τους διακομιστές Microsoft Exchange μέσω κακόβουλων εφαρμογών OAuth

Οι εισβολείς αναπτύσσουν κακόβουλες εφαρμογές OAuth σε παραβιασμένους μισθωτές cloud, με στόχο να εξαγοράσουν τους Microsoft Exchange Servers για τη διάδοση ανεπιθύμητων μηνυμάτων.

Αυτό σύμφωνα με την ερευνητική ομάδα του Microsoft 365 Defender, η οποία εξέθεσε αυτήν την εβδομάδα πώς έχουν ξεκινήσει επιθέσεις πλήρωσης διαπιστευτηρίων εναντίον λογαριασμών υψηλού κινδύνου που δεν έχουν ενεργοποιημένο τον έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA) και στη συνέχεια αξιοποιούν μη ασφαλείς λογαριασμούς διαχειριστή για να αποκτήσουν αρχική πρόσβαση.

Οι εισβολείς μπόρεσαν στη συνέχεια να δημιουργήσουν μια κακόβουλη εφαρμογή OAuth, η οποία πρόσθεσε μια κακόβουλη εισερχόμενη σύνδεση στον διακομιστή email.

Τροποποιημένη πρόσβαση διακομιστή

«Αυτές οι τροποποιήσεις στις ρυθμίσεις του διακομιστή Exchange επέτρεψαν στον παράγοντα απειλής να εκτελέσει τον πρωταρχικό του στόχο στην επίθεση: την αποστολή ανεπιθύμητων μηνυμάτων ηλεκτρονικού ταχυδρομείου», σημείωσαν οι ερευνητές. σε ένα blog post στις 22 Σεπτεμβρίου. "Τα spam email στάλθηκαν ως μέρος ενός παραπλανητικού προγράμματος κληρώσεων με σκοπό να ξεγελάσουν τους παραλήπτες ώστε να εγγραφούν σε επαναλαμβανόμενες συνδρομές επί πληρωμή."

Η ερευνητική ομάδα κατέληξε στο συμπέρασμα ότι το κίνητρο του χάκερ ήταν να διαδώσει παραπλανητικά ανεπιθύμητα μηνύματα σχετικά με κληρώσεις, παρακινώντας τα θύματα να παραδώσουν πληροφορίες πιστωτικών καρτών για να επιτρέψουν μια επαναλαμβανόμενη συνδρομή που θα τους πρόσφερε «την ευκαιρία να κερδίσουν ένα βραβείο».

«Ενώ το σχέδιο πιθανότατα οδήγησε σε ανεπιθύμητες χρεώσεις σε στόχους, δεν υπήρχαν ενδείξεις απροκάλυπτων απειλών ασφαλείας, όπως phishing διαπιστευτηρίων ή διανομή κακόβουλου λογισμικού», σημείωσε η ερευνητική ομάδα.

Η ανάρτηση επεσήμανε επίσης ότι ένας αυξανόμενος πληθυσμός κακόβουλων παραγόντων έχει αναπτύξει εφαρμογές OAuth για διάφορες καμπάνιες, από backdoors και επιθέσεις phishing έως επικοινωνία και ανακατευθύνσεις εντολής και ελέγχου (C2).

Η Microsoft συνέστησε την εφαρμογή πρακτικών ασφαλείας όπως το MFA που ενισχύουν τα διαπιστευτήρια λογαριασμού, καθώς και πολιτικές πρόσβασης υπό όρους και αξιολόγηση συνεχούς πρόσβασης (CAE).

«Ενώ η επόμενη καμπάνια ανεπιθύμητης αλληλογραφίας στοχεύει λογαριασμούς ηλεκτρονικού ταχυδρομείου καταναλωτών, αυτή η επίθεση στοχεύει ενοικιαστές επιχειρήσεων για χρήση ως υποδομή για αυτήν την καμπάνια», πρόσθεσε η ερευνητική ομάδα. «Αυτή η επίθεση αποκαλύπτει έτσι αδυναμίες ασφάλειας που θα μπορούσαν να χρησιμοποιηθούν από άλλους παράγοντες απειλής σε επιθέσεις που θα μπορούσαν να επηρεάσουν άμεσα τις επηρεαζόμενες επιχειρήσεις».

Το MFA μπορεί να βοηθήσει, αλλά απαιτούνται πρόσθετες πολιτικές ελέγχου πρόσβασης

«Ενώ το MFA είναι μια εξαιρετική αρχή και θα μπορούσε να είχε βοηθήσει τη Microsoft σε αυτή την περίπτωση, είδαμε πρόσφατα στις ειδήσεις ότι δεν είναι όλα τα ΜΧΣ ίδια», σημειώνει ο David Lindner, CISO στην Contrast Security. "Ως οργανισμός ασφαλείας, είναι καιρός να ξεκινήσουμε από το "το όνομα χρήστη και ο κωδικός πρόσβασης έχουν παραβιαστεί" και να δημιουργήσουμε ελέγχους γύρω από αυτό."

Ο Lindner λέει ότι η κοινότητα ασφαλείας πρέπει να ξεκινήσει με κάποια βασικά και να ακολουθήσει την αρχή του ελάχιστου προνομίου για να δημιουργήσει κατάλληλες, επιχειρηματικές, βασισμένες σε ρόλους, πολιτικές ελέγχου πρόσβασης.

«Πρέπει να ορίσουμε κατάλληλους τεχνικούς ελέγχους όπως το MFA — το FIDO2 ως η καλύτερη επιλογή — έλεγχος ταυτότητας βάσει συσκευής, χρονικά όρια περιόδου λειτουργίας και ούτω καθεξής», προσθέτει.

Τέλος, οι οργανισμοί πρέπει να παρακολουθούν για ανωμαλίες όπως «αδύνατες συνδέσεις» (δηλαδή, προσπάθειες σύνδεσης στον ίδιο λογαριασμό από, για παράδειγμα, Βοστώνη και Ντάλας, με διαφορά 20 λεπτών). απόπειρες ωμής βίας· και ο χρήστης προσπαθεί να αποκτήσει πρόσβαση σε μη εξουσιοδοτημένα συστήματα.

«Μπορούμε να το κάνουμε και μπορούμε να αυξήσουμε σημαντικά τη στάση ασφαλείας ενός οργανισμού κατά τη διάρκεια της νύχτας, ενισχύοντας τους μηχανισμούς επαλήθευσης ταυτότητας», λέει ο Lindner.