Cyberprzestępcy narażają serwery Microsoft Exchange za pomocą złośliwych aplikacji OAuth

Atakujący wdrażają złośliwe aplikacje OAuth na zaatakowanych dzierżawcach chmury w celu przejęcia serwerów Microsoft Exchange w celu rozprzestrzeniania spamu.

Tak twierdzi zespół Microsoft 365 Defender Research Team, który w tym tygodniu szczegółowo opisał, w jaki sposób przeprowadzano ataki polegające na upychaniu poświadczeń na kontach wysokiego ryzyka, które nie mają włączonej funkcji uwierzytelniania wieloskładnikowego (MFA), a następnie wykorzystywano niezabezpieczone konta administratorów, aby uzyskać początkowy dostęp.

Atakujący byli następnie w stanie stworzyć złośliwą aplikację OAuth, która dodała złośliwy łącznik przychodzący na serwerze poczty e-mail.

Zmodyfikowany dostęp do serwera

„Te modyfikacje ustawień serwera Exchange umożliwiły cyberprzestępcom wykonanie głównego celu ataku: rozsyłanie wiadomości spamowych” — zauważyli badacze w blogu 22 września. „E-maile ze spamem zostały wysłane w ramach oszukańczego programu loterii mającego na celu nakłonienie odbiorców do zapisania się na powtarzające się płatne subskrypcje”.

Zespół badawczy doszedł do wniosku, że motywem hakera było rozpowszechnianie wprowadzających w błąd wiadomości spamowych dotyczących loterii, nakłaniając ofiary do przekazywania informacji o karcie kredytowej, aby umożliwić im cykliczną subskrypcję, która dawałaby im „szansę na wygranie nagrody”.

„Chociaż program prawdopodobnie doprowadził do niechcianych opłat dla celów, nie było dowodów na jawne zagrożenia bezpieczeństwa, takie jak phishing danych uwierzytelniających lub dystrybucja złośliwego oprogramowania” – zauważył zespół badawczy.

W poście zwrócono również uwagę, że rosnąca populacja złośliwych aktorów wdraża aplikacje OAuth w różnych kampaniach, od backdoorów i ataków phishingowych po komunikację i przekierowania typu C2 (command-and-control).

Microsoft zalecił wdrożenie praktyk bezpieczeństwa, takich jak MFA, które wzmacniają poświadczenia konta, a także zasady dostępu warunkowego i ocenę ciągłego dostępu (CAE).

„Podczas gdy następna kampania spamowa jest skierowana na konta e-mail konsumentów, ten atak jest skierowany do najemców korporacyjnych, którzy mają zostać wykorzystani jako infrastruktura dla tej kampanii” – dodał zespół badawczy. „Atak ten ujawnia zatem słabe punkty bezpieczeństwa, które mogą zostać wykorzystane przez innych cyberprzestępców w atakach, które mogą bezpośrednio wpłynąć na przedsiębiorstwa, których to dotyczy”.

MFA może pomóc, ale wymagane są dodatkowe zasady kontroli dostępu

„Chociaż MFA to świetny początek i mogło pomóc firmie Microsoft w tym przypadku, ostatnio widzieliśmy to w wiadomościach nie wszystkie MFA są takie same”, zauważa David Lindner, CISO w firmie Contrast Security. „Jako organizacja zajmująca się bezpieczeństwem nadszedł czas, abyśmy zaczęli od tego, że„ nazwa użytkownika i hasło zostały naruszone ”i zbudowali kontrole wokół tego”.

Lindner mówi, że społeczność zajmująca się bezpieczeństwem musi zacząć od pewnych podstaw i postępować zgodnie z zasadą najmniejszych uprawnień, aby stworzyć odpowiednie, oparte na biznesie i oparte na rolach zasady kontroli dostępu.

„Musimy ustawić odpowiednie kontrole techniczne, takie jak MFA — FIDO2 jako najlepszą opcję — uwierzytelnianie na podstawie urządzenia, limity czasu sesji i tak dalej” — dodaje.

Wreszcie, organizacje muszą monitorować anomalie, takie jak „niemożliwe logowanie” (tj. próby zalogowania się na to samo konto z, powiedzmy, Bostonu i Dallas, w odstępie 20 minut); próby brutalnej siły; oraz próby uzyskania dostępu do nieautoryzowanych systemów.

„Możemy to zrobić i możemy znacznie zwiększyć poziom bezpieczeństwa organizacji z dnia na dzień, zaostrzając nasze mechanizmy uwierzytelniania” — mówi Lindner.