مهاجمان سایبری سرورهای Microsoft Exchange را از طریق برنامه های مخرب OAuth به خطر می اندازند

مهاجمان در حال استقرار برنامه های مخرب OAuth بر روی مستاجران ابری در معرض خطر هستند، با هدف تصاحب سرورهای Microsoft Exchange برای پخش هرزنامه.

طبق گفته تیم تحقیقاتی Microsoft 365 Defender، که در این هفته توضیح داد که چگونه حملات پر کردن اعتبار علیه حساب‌های پرخطری که احراز هویت چند عاملی (MFA) را فعال نکرده‌اند، راه‌اندازی شده‌اند، سپس از حساب‌های سرپرست ناامن برای دسترسی اولیه استفاده می‌کنند.

مهاجمان متعاقباً توانستند یک برنامه مخرب OAuth ایجاد کنند که یک رابط ورودی مخرب را در سرور ایمیل اضافه کرد.

دسترسی به سرور اصلاح شده

محققان خاطرنشان کردند: "این تغییرات در تنظیمات سرور Exchange به عامل تهدید اجازه می دهد تا هدف اصلی خود را در حمله انجام دهد: ارسال ایمیل های هرزنامه." در یک پست وبلاگ در 22 سپتامبر. "ایمیل های هرزنامه به عنوان بخشی از یک طرح قرعه کشی فریبنده ارسال شد که هدف آن فریب گیرندگان برای ثبت نام برای اشتراک های پولی مکرر بود."

تیم تحقیقاتی به این نتیجه رسیدند که انگیزه هکر پخش پیام‌های هرزنامه گمراه‌کننده در مورد قرعه‌کشی‌ها بوده و قربانیان را ترغیب می‌کند تا اطلاعات کارت اعتباری خود را تحویل دهند تا امکان اشتراک مکرر وجود داشته باشد که به آنها "فرصت برنده شدن یک جایزه" را ارائه دهد.

تیم تحقیقاتی خاطرنشان کرد: «در حالی که این طرح احتمالاً منجر به هزینه‌های ناخواسته برای اهداف می‌شود، شواهدی از تهدیدات امنیتی آشکار مانند فیشینگ اعتبار یا توزیع بدافزار وجود ندارد».

این پست همچنین اشاره کرد که جمعیت رو به رشدی از عوامل مخرب برنامه‌های OAuth را برای کمپین‌های مختلف، از درهای پشتی و حملات فیشینگ گرفته تا ارتباطات و هدایت‌های فرمان و کنترل (C2) به کار می‌گیرند.

مایکروسافت اجرای شیوه‌های امنیتی مانند MFA را که اعتبار حساب‌ها را تقویت می‌کند، و همچنین خط‌مشی‌های دسترسی مشروط و ارزیابی دسترسی مداوم (CAE) را توصیه کرد.

تیم تحقیقاتی افزود: «در حالی که کمپین اسپم بعدی حساب‌های ایمیل مصرف‌کننده را هدف قرار می‌دهد، این حمله مستاجران سازمانی را هدف قرار می‌دهد تا از آنها به عنوان زیرساخت برای این کمپین استفاده کنند». بنابراین، این حمله ضعف‌های امنیتی را آشکار می‌کند که می‌توانند توسط سایر بازیگران تهدید در حملاتی که می‌توانند مستقیماً بر شرکت‌های تحت تأثیر تأثیر بگذارند، استفاده کنند.»

MFA می تواند کمک کند، اما سیاست های کنترل دسترسی اضافی مورد نیاز است

«در حالی که MFA یک شروع عالی است و می توانست در این مورد به مایکروسافت کمک کند، اخیراً در اخبار دیده ایم که همه وزارت امور خارجه یکسان نیستنددیوید لیندنر، CISO در Contrast Security اشاره می کند. به عنوان یک سازمان امنیتی، زمان آن فرا رسیده است که از «نام کاربری و رمز عبور به خطر افتاده» شروع کنیم و کنترل‌هایی را پیرامون آن ایجاد کنیم.»

لیندنر می‌گوید که جامعه امنیتی باید با برخی اصول اولیه شروع کند و از اصل کمترین امتیاز پیروی کند تا سیاست‌های کنترل دسترسی مناسب، مبتنی بر نقش و کار را ایجاد کند.

او می‌افزاید: «ما باید کنترل‌های فنی مناسبی مانند MFA - FIDO2 به عنوان بهترین گزینه - احراز هویت مبتنی بر دستگاه، زمان‌بندی جلسات و غیره را تنظیم کنیم.

در نهایت، سازمان‌ها باید برای ناهنجاری‌هایی مانند «ورود غیرممکن» (یعنی تلاش‌هایی برای ورود به حساب کاربری مشابه از بوستون و دالاس، که 20 دقیقه از هم فاصله دارند) نظارت کنند. تلاش های بی رحمانه؛ و تلاش کاربر برای دسترسی به سیستم های غیرمجاز.

لیندنر می‌گوید: «ما می‌توانیم این کار را انجام دهیم و می‌توانیم وضعیت امنیتی یک سازمان را یک شبه با سخت‌تر کردن مکانیسم‌های احراز هویت خود افزایش دهیم.»