תוקפים פורסים יישומי OAuth זדוניים על דיירי ענן שנפגעו, במטרה להשתלט על שרתי Microsoft Exchange כדי להפיץ דואר זבל.
כך על פי צוות המחקר של Microsoft 365 Defender, שפירט השבוע כיצד הושקו התקפות של מילוי אישורים נגד חשבונות בסיכון גבוה שלא מופעל בהם אימות רב-גורמי (MFA), ולאחר מכן מינוף חשבונות מנהל לא מאובטחים כדי לקבל גישה ראשונית.
התוקפים הצליחו לאחר מכן ליצור אפליקציית OAuth זדונית, שהוסיפה מחבר זדוני נכנס בשרת האימייל.
גישה לשרת שונה
"השינויים האלה בהגדרות שרת ה-Exchange אפשרו לשחקן האיום לבצע את המטרה העיקרית שלו במתקפה: שליחת דואר זבל", ציינו החוקרים בפוסט בבלוג ב-22 בספטמבר. "הודעות הספאם נשלחו כחלק מתכנית הגרלות מטעה שנועדה להערים על נמענים להירשם למנויים בתשלום חוזרים".
צוות המחקר הגיע למסקנה כי המניע של ההאקר היה להפיץ הודעות ספאם מטעות על הגרלות, לגרום לקורבנות למסור פרטי כרטיס אשראי כדי לאפשר מנוי חוזר שיציע להם "הזדמנות לזכות בפרס".
"למרות שהתוכנית כנראה גרמה להאשמות לא רצויות למטרות, לא היו עדויות לאיומי אבטחה גלויים כגון דיוג אישורים או הפצת תוכנות זדוניות", ציין צוות המחקר.
הפוסט גם הצביע על כך שאוכלוסיה הולכת וגדלה של שחקנים זדוניים פורסים יישומי OAuth עבור מסעות פרסום שונים, החל מדלתות אחוריות והתקפות דיוג ועד לתקשורת פיקוד ושליטה (C2) והפניות מחדש.
מיקרוסופט המליצה ליישם שיטות אבטחה כמו MFA שמחזקות את אישורי החשבון, כמו גם מדיניות גישה מותנית והערכת גישה מתמשכת (CAE).
"בעוד שמסע הספאם העוקב מכוון לחשבונות דואר אלקטרוני של צרכנים, מתקפה זו מכוונת לדיירים ארגוניים שישמשו כתשתית לקמפיין הזה", הוסיף צוות המחקר. "מתקפה זו חושפת אפוא חולשות אבטחה שיכולות לשמש גורמי איומים אחרים בהתקפות שעלולות להשפיע ישירות על ארגונים מושפעים".
MFA יכול לעזור, אך נדרשת מדיניות בקרת גישה נוספת
"למרות ש-MFA הוא התחלה מצוינת ויכול היה לעזור למיקרוסופט במקרה הזה, ראינו לאחרונה בחדשות לא כל MFA זהה", מציין דיוויד לינדנר, CISO ב-Contrast Security. "כארגון אבטחה, הגיע הזמן שנתחיל מ'שם המשתמש והסיסמה נפגעים' ונבנה סביב זה בקרות."
לינדנר אומר שקהילת האבטחה צריכה להתחיל עם כמה עקרונות בסיסיים ולפעול לפי עקרון המינימום הזכויות כדי ליצור מדיניות בקרת גישה מתאימה, מונעת עסקית, מבוססת תפקידים.
"אנחנו צריכים להגדיר בקרות טכניות מתאימות כמו MFA - FIDO2 כאופציה הטובה ביותר שלך - אימות מבוסס מכשיר, פסקי זמן להפעלה וכן הלאה", הוא מוסיף.
לבסוף, ארגונים צריכים לעקוב אחר חריגות כגון "כניסות בלתי אפשריות" (כלומר, ניסיונות כניסה לאותו חשבון, למשל, מבוסטון ודאלאס, בהפרש של 20 דקות); ניסיונות כוח גס; ומשתמש מנסה לגשת למערכות לא מורשות.
"אנחנו יכולים לעשות את זה, ואנחנו יכולים להגביר מאוד את עמדת האבטחה של ארגון בן לילה על ידי הידוק מנגנוני האימות שלנו", אומר לינדנר.
