Gli aggressori informatici compromettono i server Microsoft Exchange tramite app OAuth dannose

Gli aggressori stanno implementando applicazioni OAuth dannose su tenant cloud compromessi, con l'obiettivo di impossessarsi dei server Microsoft Exchange per diffondere spam.

Questo secondo il team di ricerca di Microsoft 365 Defender, che questa settimana ha dettagliato come sono stati lanciati attacchi di riempimento delle credenziali contro account ad alto rischio che non hanno l'autenticazione a più fattori (MFA) abilitata, sfruttando quindi gli account amministratore non protetti per ottenere l'accesso iniziale.

Gli aggressori sono stati successivamente in grado di creare un'app OAuth dannosa, che ha aggiunto un connettore in entrata dannoso nel server di posta elettronica.

Accesso al server modificato

"Queste modifiche alle impostazioni del server Exchange hanno consentito all'autore della minaccia di raggiungere il proprio obiettivo principale nell'attacco: inviare e-mail di spam", hanno osservato i ricercatori in un post sul blog il 22 settembre. "Le e-mail di spam sono state inviate come parte di uno schema ingannevole di lotterie inteso a indurre i destinatari a iscriversi a abbonamenti a pagamento ricorrenti".

Il team di ricerca ha concluso che il motivo dell'hacker era quello di diffondere messaggi di spam ingannevoli su lotterie, inducendo le vittime a consegnare i dati della carta di credito per consentire un abbonamento ricorrente che avrebbe offerto loro "la possibilità di vincere un premio".

"Sebbene lo schema abbia probabilmente portato ad addebiti indesiderati ai bersagli, non c'erano prove di evidenti minacce alla sicurezza come il phishing delle credenziali o la distribuzione di malware", ha osservato il team di ricerca.

Il post ha anche sottolineato che una crescente popolazione di attori malintenzionati ha distribuito applicazioni OAuth per varie campagne, da backdoor e attacchi di phishing a comunicazioni e reindirizzamenti di comando e controllo (C2).

Microsoft ha consigliato di implementare pratiche di sicurezza come MFA che rafforzano le credenziali dell'account, nonché criteri di accesso condizionale e valutazione dell'accesso continuo (CAE).

"Mentre la campagna di spam successiva prende di mira gli account di posta elettronica dei consumatori, questo attacco prende di mira gli inquilini aziendali da utilizzare come infrastruttura per questa campagna", ha aggiunto il team di ricerca. "Questo attacco espone quindi debolezze di sicurezza che potrebbero essere utilizzate da altri attori delle minacce in attacchi che potrebbero avere un impatto diretto sulle imprese interessate".

L'autenticazione a più fattori può essere d'aiuto, ma sono necessarie ulteriori policy di controllo degli accessi

“Sebbene MFA sia un ottimo inizio e avrebbe potuto aiutare Microsoft in questo caso, lo abbiamo visto di recente nelle notizie non tutti gli MFA sono uguali”, osserva David Lindner, CISO di Contrast Security. "Come organizzazione di sicurezza, è tempo di partire da 'il nome utente e la password sono compromessi' e creare controlli attorno a questo."

Lindner afferma che la comunità della sicurezza deve iniziare con alcune nozioni di base e seguire il principio del privilegio minimo per creare policy di controllo degli accessi appropriate, orientate al business e basate sui ruoli.

"Dobbiamo impostare controlli tecnici appropriati come MFA - FIDO2 come opzione migliore - autenticazione basata su dispositivo, timeout di sessione e così via", aggiunge.

Infine, le organizzazioni devono monitorare anomalie come "login impossibili" (ovvero, tentativi di accesso allo stesso account da, ad esempio, Boston e Dallas, a distanza di 20 minuti); tentativi di forza bruta; e tentativi dell'utente di accedere a sistemi non autorizzati.

"Possiamo farlo e possiamo aumentare notevolmente la posizione di sicurezza di un'organizzazione durante la notte rafforzando i nostri meccanismi di autenticazione", afferma Lindner.