Ründajad juurutavad pahatahtlikke OAuthi rakendusi ohustatud pilveüürnikele eesmärgiga võtta rämpsposti levitamiseks üle Microsoft Exchange Serverid.
Nii väidab Microsoft 365 Defenderi uurimismeeskond, kes kirjeldas sel nädalal, kuidas on käivitatud mandaatide täitmise rünnakud kõrge riskiga kontode vastu, millel pole lubatud mitmefaktoriline autentimine (MFA), ning seejärel kasutati esmase juurdepääsu saamiseks turvamata administraatorikontosid.
Ründajad suutsid seejärel luua pahatahtliku OAuthi rakenduse, mis lisas e-posti serverisse pahatahtliku sissetuleva konnektori.
Muudetud juurdepääs serverile
"Need Exchange'i serveri seadete muudatused võimaldasid ohutegijal täita oma rünnaku peamist eesmärki: saata rämpsposti," märkisid teadlased. In blogi postitus 22. septembril. "Rämpspostikirjad saadeti petliku loosimise skeemi osana, mille eesmärk oli meelitada adressaate registreeruma korduvate tasuliste tellimuste jaoks."
Uurimisrühm jõudis järeldusele, et häkkeri motiiv oli levitada loosimiste kohta eksitavaid rämpspostisõnumeid, ajendades ohvreid krediitkaarditeavet üle andma, et võimaldada korduvat tellimust, mis annaks neile "võimaluse võita auhinda".
"Kuigi skeem põhjustas tõenäoliselt sihtmärkidele soovimatuid tasusid, ei olnud mingeid tõendeid ilmsete turvaohtude kohta, nagu volikirjade andmepüügi või pahavara levitamine," märkis uurimisrühm.
Postituses juhiti tähelepanu ka sellele, et kasvav hulk pahatahtlikke osalejaid on juurutanud OAuthi rakendusi erinevate kampaaniate jaoks, alates tagauksest ja andmepüügirünnakutest kuni käsu-ja kontrolli (C2) suhtluse ja ümbersuunamiseni.
Microsoft soovitas rakendada turvatavasid, nagu MFA, mis tugevdavad konto mandaate, samuti tingimusjuurdepääsu poliitikat ja pidevat juurdepääsu hindamist (CAE).
"Kuigi järgnev rämpspostikampaania on suunatud tarbijate e-posti kontodele, on see rünnak suunatud ettevõtete üürnikele, mida kasutatakse selle kampaania infrastruktuurina," lisas uurimisrühm. "See rünnak paljastab seega turvanõrkused, mida võivad teised ohus osalejad kasutada rünnakutes, mis võivad mõjutatud ettevõtteid otseselt mõjutada."
MFA võib aidata, kuid vaja on täiendavaid juurdepääsukontrolli eeskirju
"Kuigi MFA on suurepärane algus ja oleks võinud Microsofti sel juhul aidata, oleme hiljutistes uudistes seda näinud kõik MFA ei ole ühesugused,” märgib David Lindner, Contrast Security CISO. "Turvaorganisatsioonina on aeg alustada sõnadest "kasutajanimi ja parool on ohus" ning ehitada selle ümber juhtelemendid.
Lindner ütleb, et turvakogukond peab alustama mõnest põhitõest ja järgima kõige väiksemate privileegide põhimõtet, et luua sobivad, äripõhised ja rollipõhised juurdepääsukontrolli poliitikad.
"Peame teie parimaks valikuks määrama sobivad tehnilised juhtelemendid, nagu MFA - FIDO2 - seadmepõhine autentimine, seansi ajalõpud ja nii edasi," lisab ta.
Lõpuks peavad organisatsioonid jälgima anomaaliaid, nagu "võimatud sisselogimised" (st sisselogimiskatsed samale kontole näiteks Bostonist ja Dallasest, mille vahe on 20 minutit); toore jõu katsed; ja kasutaja katsed pääseda juurde volitamata süsteemidele.
"Me saame sellega hakkama ja saame oma autentimismehhanisme karmistades üleöö oluliselt tõsta organisatsiooni turvalisust," ütleb Lindner.
