مهاجمان در حال استقرار برنامه های مخرب OAuth بر روی مستاجران ابری در معرض خطر هستند، با هدف تصاحب سرورهای Microsoft Exchange برای پخش هرزنامه.
طبق گفته تیم تحقیقاتی Microsoft 365 Defender، که در این هفته توضیح داد که چگونه حملات پر کردن اعتبار علیه حسابهای پرخطری که احراز هویت چند عاملی (MFA) را فعال نکردهاند، راهاندازی شدهاند، سپس از حسابهای سرپرست ناامن برای دسترسی اولیه استفاده میکنند.
مهاجمان متعاقباً توانستند یک برنامه مخرب OAuth ایجاد کنند که یک رابط ورودی مخرب را در سرور ایمیل اضافه کرد.
دسترسی به سرور اصلاح شده
محققان خاطرنشان کردند: "این تغییرات در تنظیمات سرور Exchange به عامل تهدید اجازه می دهد تا هدف اصلی خود را در حمله انجام دهد: ارسال ایمیل های هرزنامه." در یک پست وبلاگ در 22 سپتامبر. "ایمیل های هرزنامه به عنوان بخشی از یک طرح قرعه کشی فریبنده ارسال شد که هدف آن فریب گیرندگان برای ثبت نام برای اشتراک های پولی مکرر بود."
تیم تحقیقاتی به این نتیجه رسیدند که انگیزه هکر پخش پیامهای هرزنامه گمراهکننده در مورد قرعهکشیها بوده و قربانیان را ترغیب میکند تا اطلاعات کارت اعتباری خود را تحویل دهند تا امکان اشتراک مکرر وجود داشته باشد که به آنها "فرصت برنده شدن یک جایزه" را ارائه دهد.
تیم تحقیقاتی خاطرنشان کرد: «در حالی که این طرح احتمالاً منجر به هزینههای ناخواسته برای اهداف میشود، شواهدی از تهدیدات امنیتی آشکار مانند فیشینگ اعتبار یا توزیع بدافزار وجود ندارد».
این پست همچنین اشاره کرد که جمعیت رو به رشدی از عوامل مخرب برنامههای OAuth را برای کمپینهای مختلف، از درهای پشتی و حملات فیشینگ گرفته تا ارتباطات و هدایتهای فرمان و کنترل (C2) به کار میگیرند.
مایکروسافت اجرای شیوههای امنیتی مانند MFA را که اعتبار حسابها را تقویت میکند، و همچنین خطمشیهای دسترسی مشروط و ارزیابی دسترسی مداوم (CAE) را توصیه کرد.
تیم تحقیقاتی افزود: «در حالی که کمپین اسپم بعدی حسابهای ایمیل مصرفکننده را هدف قرار میدهد، این حمله مستاجران سازمانی را هدف قرار میدهد تا از آنها به عنوان زیرساخت برای این کمپین استفاده کنند». بنابراین، این حمله ضعفهای امنیتی را آشکار میکند که میتوانند توسط سایر بازیگران تهدید در حملاتی که میتوانند مستقیماً بر شرکتهای تحت تأثیر تأثیر بگذارند، استفاده کنند.»
MFA می تواند کمک کند، اما سیاست های کنترل دسترسی اضافی مورد نیاز است
«در حالی که MFA یک شروع عالی است و می توانست در این مورد به مایکروسافت کمک کند، اخیراً در اخبار دیده ایم که همه وزارت امور خارجه یکسان نیستنددیوید لیندنر، CISO در Contrast Security اشاره می کند. به عنوان یک سازمان امنیتی، زمان آن فرا رسیده است که از «نام کاربری و رمز عبور به خطر افتاده» شروع کنیم و کنترلهایی را پیرامون آن ایجاد کنیم.»
لیندنر میگوید که جامعه امنیتی باید با برخی اصول اولیه شروع کند و از اصل کمترین امتیاز پیروی کند تا سیاستهای کنترل دسترسی مناسب، مبتنی بر نقش و کار را ایجاد کند.
او میافزاید: «ما باید کنترلهای فنی مناسبی مانند MFA - FIDO2 به عنوان بهترین گزینه - احراز هویت مبتنی بر دستگاه، زمانبندی جلسات و غیره را تنظیم کنیم.
در نهایت، سازمانها باید برای ناهنجاریهایی مانند «ورود غیرممکن» (یعنی تلاشهایی برای ورود به حساب کاربری مشابه از بوستون و دالاس، که 20 دقیقه از هم فاصله دارند) نظارت کنند. تلاش های بی رحمانه؛ و تلاش کاربر برای دسترسی به سیستم های غیرمجاز.
لیندنر میگوید: «ما میتوانیم این کار را انجام دهیم و میتوانیم وضعیت امنیتی یک سازمان را یک شبه با سختتر کردن مکانیسمهای احراز هویت خود افزایش دهیم.»