A támadók rosszindulatú OAuth-alkalmazásokat telepítenek a feltört felhőbérlőkre, azzal a céllal, hogy átvegyék a Microsoft Exchange Servereket a spam terjesztése érdekében.
Ez a Microsoft 365 Defender Research Team szerint, amely ezen a héten részletezte, hogyan indítottak hitelesítő adatok kitöltésével járó támadásokat olyan magas kockázatú fiókok ellen, amelyekben nincs engedélyezve a többtényezős hitelesítés (MFA), majd a nem biztonságos rendszergazdai fiókokat használták fel a kezdeti hozzáférés megszerzéséhez.
A támadók ezt követően létrehozhattak egy rosszindulatú OAuth-alkalmazást, amely egy rosszindulatú bejövő csatlakozót adott az e-mail szerverhez.
Módosított szerver hozzáférés
"Az Exchange szerver beállításainak ezen módosításai lehetővé tették a fenyegetés szereplőjének, hogy elérje elsődleges célját a támadásban: spam e-mailek küldését" - jegyezték meg a kutatók. Egy blogbejegyzésben szeptember 22-én. „A spam e-maileket egy megtévesztő nyereményjáték részeként küldték, amelynek célja, hogy rávegyék a címzetteket, hogy regisztráljanak az ismétlődő fizetős előfizetésekre.”
A kutatócsoport arra a következtetésre jutott, hogy a hacker indítéka az volt, hogy félrevezető spam üzeneteket terjesztsen a nyereményjátékokkal kapcsolatban, és arra készteti az áldozatokat, hogy adjanak át hitelkártyaadatokat, hogy lehetővé tegyék az ismétlődő előfizetést, amely „lehetőséget kínál a nyeremény elnyerésére”.
"Bár a rendszer valószínűleg nem kívánt terheléseket eredményezett a célpontok számára, nem volt bizonyíték olyan nyílt biztonsági fenyegetésekre, mint a hitelesítő adatok adathalászata vagy rosszindulatú programok terjesztése" - jegyezte meg a kutatócsoport.
A bejegyzés arra is rámutatott, hogy a rosszindulatú szereplők egyre nagyobb része telepít OAuth-alkalmazásokat különféle kampányokhoz, a hátsó ajtóktól és az adathalász támadásoktól a parancs- és irányítási (C2) kommunikációig és átirányításokig.
A Microsoft olyan biztonsági gyakorlatok bevezetését javasolta, mint például az MFA, amely megerősíti a fiók hitelesítő adatait, valamint a feltételes hozzáférési szabályzatokat és a folyamatos hozzáférés-értékelést (CAE).
„Míg az ezt követő spamkampány a fogyasztói e-mail fiókokat célozza meg, ez a támadás a vállalati bérlőket célozza meg, hogy infrastruktúraként használják fel a kampányhoz” – tette hozzá a kutatócsoport. „Ez a támadás tehát olyan biztonsági hiányosságokat tár fel, amelyeket más fenyegető szereplők felhasználhatnak olyan támadásokban, amelyek közvetlenül érinthetik az érintett vállalatokat.”
Az MFA segíthet, de további hozzáférés-szabályozási szabályok szükségesek
„Bár az MFA remek kezdet, és ebben az esetben segíthetett volna a Microsoftnak, a közelmúltban ezt láthattuk a hírekben nem minden MFA egyforma” – jegyzi meg David Lindner, a Contrast Security CISO-ja. „Biztonsági szervezetként itt az ideje, hogy abból induljunk ki, hogy „a felhasználónév és a jelszó veszélybe került”, és e köré építsük fel az irányítást.”
Lindner szerint a biztonsági közösségnek néhány alapelvvel kell kezdenie, és követnie kell a legkevesebb privilégium elvét, hogy megfelelő, üzletközpontú, szerepalapú hozzáférés-szabályozási szabályzatot hozzon létre.
„Meg kell állítanunk a megfelelő műszaki vezérlőket, mint például az MFA – FIDO2, mint a legjobb megoldás – eszközalapú hitelesítés, munkamenet-időtúllépések és így tovább” – teszi hozzá.
Végül a szervezeteknek figyelniük kell az olyan anomáliákat, mint például a „lehetetlen bejelentkezés” (azaz ugyanazon fiókba történő bejelentkezési kísérletek mondjuk Bostonból és Dallasból, amelyek 20 percnyi különbséggel vannak egymástól); brute-force kísérletek; és a felhasználó megpróbál hozzáférni illetéktelen rendszerekhez.
„Megtehetjük, és egyik napról a másikra nagymértékben növelhetjük egy szervezet biztonsági helyzetét a hitelesítési mechanizmusaink szigorításával” – mondja Lindner.
