स्पैम फैलाने के लिए माइक्रोसॉफ्ट एक्सचेंज सर्वर पर कब्ज़ा करने के लक्ष्य के साथ, हमलावर समझौता किए गए क्लाउड टेनेंट पर दुर्भावनापूर्ण OAuth एप्लिकेशन तैनात कर रहे हैं।
यह Microsoft 365 डिफेंडर रिसर्च टीम के अनुसार है, जिसने इस सप्ताह विस्तार से बताया कि कैसे उच्च-जोखिम वाले खातों के खिलाफ क्रेडेंशियल-स्टफिंग हमले शुरू किए गए हैं, जिनमें मल्टीफैक्टर प्रमाणीकरण (एमएफए) सक्षम नहीं है, फिर प्रारंभिक पहुंच प्राप्त करने के लिए असुरक्षित व्यवस्थापक खातों का लाभ उठाया गया है।
हमलावर बाद में एक दुर्भावनापूर्ण OAuth ऐप बनाने में सक्षम हुए, जिसने ईमेल सर्वर में एक दुर्भावनापूर्ण इनबाउंड कनेक्टर जोड़ा।
संशोधित सर्वर एक्सेस
शोधकर्ताओं ने कहा, "एक्सचेंज सर्वर सेटिंग्स में इन संशोधनों ने खतरे वाले अभिनेता को हमले में अपना प्राथमिक लक्ष्य पूरा करने की अनुमति दी: स्पैम ईमेल भेजना।" एक ब्लॉग पोस्ट में 22 सितंबर को। "स्पैम ईमेल एक भ्रामक स्वीपस्टेक्स योजना के हिस्से के रूप में भेजे गए थे, जिसका उद्देश्य प्राप्तकर्ताओं को आवर्ती भुगतान सदस्यता के लिए साइन अप करने के लिए धोखा देना था।"
अनुसंधान टीम ने निष्कर्ष निकाला कि हैकर का मकसद स्वीपस्टेक्स के बारे में भ्रामक स्पैम संदेश फैलाना था, पीड़ितों को आवर्ती सदस्यता सक्षम करने के लिए क्रेडिट कार्ड की जानकारी सौंपने के लिए प्रेरित करना था जो उन्हें "पुरस्कार जीतने का मौका" प्रदान करेगा।
शोध दल ने कहा, "हालांकि इस योजना के परिणामस्वरूप लक्ष्यों पर अवांछित शुल्क लगने की संभावना है, लेकिन क्रेडेंशियल फ़िशिंग या मैलवेयर वितरण जैसे प्रत्यक्ष सुरक्षा खतरों का कोई सबूत नहीं था।"
पोस्ट में यह भी बताया गया है कि दुर्भावनापूर्ण अभिनेताओं की बढ़ती आबादी बैकडोर और फ़िशिंग हमलों से लेकर कमांड-एंड-कंट्रोल (C2) संचार और पुनर्निर्देशन तक विभिन्न अभियानों के लिए OAuth अनुप्रयोगों को तैनात कर रही है।
माइक्रोसॉफ्ट ने एमएफए जैसी सुरक्षा प्रथाओं को लागू करने की सिफारिश की जो खाता क्रेडेंशियल्स, साथ ही सशर्त पहुंच नीतियों और निरंतर पहुंच मूल्यांकन (सीएई) को मजबूत करती है।
अनुसंधान टीम ने कहा, "जबकि फॉलो-ऑन स्पैम अभियान उपभोक्ता ईमेल खातों को लक्षित करता है, यह हमला इस अभियान के लिए बुनियादी ढांचे के रूप में उपयोग करने के लिए एंटरप्राइज़ किरायेदारों को लक्षित करता है।" "यह हमला इस प्रकार सुरक्षा कमजोरियों को उजागर करता है जिसका उपयोग अन्य खतरनाक अभिनेताओं द्वारा हमलों में किया जा सकता है जो सीधे प्रभावित उद्यमों को प्रभावित कर सकते हैं।"
एमएफए मदद कर सकता है, लेकिन अतिरिक्त पहुंच नियंत्रण नीतियों की आवश्यकता है
“हालांकि एमएफए एक शानदार शुरुआत है और इस मामले में माइक्रोसॉफ्ट की मदद कर सकता था, हमने हाल ही में खबरों में देखा है सभी एमएफए एक जैसे नहीं होते,'' कंट्रास्ट सिक्योरिटी में सीआईएसओ, डेविड लिंडनर कहते हैं। "एक सुरक्षा संगठन के रूप में, अब समय आ गया है कि हम 'उपयोगकर्ता नाम और पासवर्ड से समझौता हो गया है' से शुरुआत करें और उसके आसपास नियंत्रण बनाएं।"
लिंडनर का कहना है कि सुरक्षा समुदाय को उचित, व्यवसाय-संचालित, भूमिका-आधारित पहुंच नियंत्रण नीतियां बनाने के लिए कुछ बुनियादी बातों से शुरुआत करने और कम से कम विशेषाधिकार के सिद्धांत का पालन करने की आवश्यकता है।
उन्होंने आगे कहा, "हमें आपके सर्वोत्तम विकल्प के रूप में एमएफए - एफआईडीओ2 जैसे उचित तकनीकी नियंत्रण स्थापित करने की आवश्यकता है - डिवाइस-आधारित प्रमाणीकरण, सत्र टाइमआउट इत्यादि।"
अंत में, संगठनों को "असंभव लॉगिन" जैसी विसंगतियों की निगरानी करने की आवश्यकता है (यानी, बोस्टन और डलास से एक ही खाते में लॉगिन प्रयास, जो 20 मिनट की दूरी पर हैं); क्रूर-बल के प्रयास; और उपयोगकर्ता अनधिकृत सिस्टम तक पहुंचने का प्रयास करता है।
लिंडनर कहते हैं, "हम यह कर सकते हैं, और हम अपने प्रमाणीकरण तंत्र को कड़ा करके रातोंरात किसी संगठन की सुरक्षा स्थिति को काफी हद तक बढ़ा सकते हैं।"
