Les attaquants déploient des applications OAuth malveillantes sur des locataires de cloud compromis, dans le but de prendre le contrôle des serveurs Microsoft Exchange pour diffuser du spam.
C'est selon l'équipe de recherche Microsoft 365 Defender, qui a détaillé cette semaine comment des attaques de bourrage d'informations d'identification ont été lancées contre des comptes à haut risque sur lesquels l'authentification multifacteur (MFA) n'est pas activée, puis en exploitant des comptes d'administrateur non sécurisés pour obtenir un accès initial.
Les attaquants ont ensuite pu créer une application OAuth malveillante, qui a ajouté un connecteur entrant malveillant dans le serveur de messagerie.
Accès au serveur modifié
"Ces modifications des paramètres du serveur Exchange ont permis à l'acteur de la menace d'accomplir son objectif principal dans l'attaque : envoyer des spams", ont noté les chercheurs. dans un billet de blog le 22 septembre. "Les spams ont été envoyés dans le cadre d'un système de tirage au sort trompeur destiné à inciter les destinataires à souscrire à des abonnements payants récurrents."
L'équipe de recherche a conclu que le motif du pirate était de diffuser des messages de spam trompeurs sur les tirages au sort, incitant les victimes à fournir des informations de carte de crédit pour activer un abonnement récurrent qui leur offrirait "la chance de gagner un prix".
"Bien que le stratagème ait probablement entraîné des frais indésirables pour les cibles, il n'y avait aucune preuve de menaces de sécurité manifestes telles que le phishing d'informations d'identification ou la distribution de logiciels malveillants", a noté l'équipe de recherche.
Le message a également souligné qu'une population croissante d'acteurs malveillants a déployé des applications OAuth pour diverses campagnes, des portes dérobées et des attaques de phishing à la communication et aux redirections de commande et de contrôle (C2).
Microsoft a recommandé de mettre en œuvre des pratiques de sécurité telles que MFA qui renforcent les informations d'identification du compte, ainsi que des politiques d'accès conditionnel et une évaluation d'accès continue (CAE).
"Alors que la campagne de spam de suivi cible les comptes de messagerie des consommateurs, cette attaque cible les locataires d'entreprise à utiliser comme infrastructure pour cette campagne", a ajouté l'équipe de recherche. "Cette attaque expose ainsi des failles de sécurité qui pourraient être utilisées par d'autres acteurs de la menace dans des attaques qui pourraient avoir un impact direct sur les entreprises concernées."
MFA peut aider, mais des stratégies de contrôle d'accès supplémentaires sont requises
"Bien que MFA soit un bon début et aurait pu aider Microsoft dans ce cas, nous avons récemment vu dans les actualités que toutes les AMF ne sont pas identiques», note David Lindner, RSSI chez Contrast Security. "En tant qu'organisation de sécurité, il est temps de commencer par" le nom d'utilisateur et le mot de passe sont compromis "et de créer des contrôles autour de cela."
Selon Lindner, la communauté de la sécurité doit commencer par quelques notions de base et suivre le principe du moindre privilège pour créer des politiques de contrôle d'accès appropriées, axées sur l'entreprise et basées sur les rôles.
"Nous devons définir des contrôles techniques appropriés tels que MFA - FIDO2 comme votre meilleure option - authentification basée sur l'appareil, délais d'expiration de session, etc.", ajoute-t-il.
Enfin, les organisations doivent surveiller les anomalies telles que les « connexions impossibles » (c'est-à-dire les tentatives de connexion au même compte depuis, par exemple, Boston et Dallas, à 20 minutes d'intervalle) ; tentatives de force brute ; et l'utilisateur tente d'accéder à des systèmes non autorisés.
"Nous pouvons le faire, et nous pouvons considérablement augmenter la posture de sécurité d'une organisation du jour au lendemain en resserrant nos mécanismes d'authentification", déclare Lindner.
- blockchain
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- Lecture sombre
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- la sécurité d'un site web
