Atacatorii cibernetici compromit serverele Microsoft Exchange prin intermediul aplicațiilor OAuth rău intenționate

Atacatorii implementează aplicații OAuth rău intenționate pe chiriașii cloud compromiși, cu scopul de a prelua serverele Microsoft Exchange pentru a răspândi spam.

Aceasta este conform echipei de cercetare Microsoft 365 Defender, care a detaliat săptămâna aceasta cum au fost lansate atacuri de completare a acreditărilor împotriva conturilor cu risc ridicat care nu au activată autentificarea multifactorială (MFA), apoi utilizând conturile de administrator nesecurizate pentru a obține accesul inițial.

Ulterior, atacatorii au putut crea o aplicație OAuth rău intenționată, care a adăugat un conector de intrare rău intenționat în serverul de e-mail.

Acces la server modificat

„Aceste modificări aduse setărilor serverului Exchange au permis actorului amenințării să își îndeplinească obiectivul principal în atac: trimiterea de e-mailuri spam”, au observat cercetătorii. într-un post pe blog pe 22 septembrie. „E-mailurile spam au fost trimise ca parte a unei scheme de loterie înșelătoare menită să-i păcălească pe destinatari să se înscrie pentru abonamente plătite recurente.”

Echipa de cercetare a concluzionat că motivul hackerului a fost să răspândească mesaje spam înșelătoare despre tombole, determinând victimele să predea informații despre cardul de credit pentru a permite un abonament recurent care le-ar oferi „șansa de a câștiga un premiu”.

„Deși schema a dus probabil la taxe nedorite către ținte, nu a existat nicio dovadă de amenințări de securitate, cum ar fi phishingul de acreditări sau distribuirea de malware”, a remarcat echipa de cercetare.

Postarea a subliniat, de asemenea, că o populație tot mai mare de actori rău intenționați a implementat aplicații OAuth pentru diferite campanii, de la uși din spate și atacuri de phishing până la comunicații și redirecționări de comandă și control (C2).

Microsoft a recomandat implementarea practicilor de securitate, cum ar fi MFA, care întăresc acreditările contului, precum și politicile de acces condiționat și evaluarea continuă a accesului (CAE).

„În timp ce campania de spam ulterioară vizează conturile de e-mail ale consumatorilor, acest atac vizează chiriașii întreprinderilor pe care să le folosească ca infrastructură pentru această campanie”, a adăugat echipa de cercetare. „Acest atac expune astfel deficiențe de securitate care ar putea fi utilizate de alți actori amenințări în atacuri care ar putea afecta direct întreprinderile afectate.”

MFA poate ajuta, dar sunt necesare politici suplimentare de control al accesului

„În timp ce MFA este un început excelent și ar fi putut ajuta Microsoft în acest caz, am văzut recent în știri că nu toate MAE sunt la fel”, notează David Lindner, CISO la Contrast Security. „Ca organizație de securitate, este timpul să pornim de la „numele de utilizator și parola sunt compromise” și să construim controale în acest sens.”

Lindner spune că comunitatea de securitate trebuie să înceapă cu câteva elemente de bază și să urmeze principiul cel mai mic privilegiu pentru a crea politici de control al accesului adecvate, bazate pe roluri, bazate pe rol.

„Trebuie să setăm controale tehnice adecvate, cum ar fi MFA – FIDO2, ca cea mai bună opțiune – autentificare bazată pe dispozitiv, expirări ale sesiunii și așa mai departe”, adaugă el.

În cele din urmă, organizațiile trebuie să monitorizeze anomalii precum „autentificări imposibile” (adică încercările de conectare la același cont de la, de exemplu, Boston și Dallas, care sunt la 20 de minute una de cealaltă); încercări de forță brută; și utilizatorii încearcă să acceseze sisteme neautorizate.

„Putem face acest lucru și putem crește considerabil poziția de securitate a unei organizații peste noapte prin înăsprirea mecanismelor noastre de autentificare”, spune Lindner.