Злоумышленники компрометируют серверы Microsoft Exchange с помощью вредоносных приложений OAuth

Злоумышленники развертывают вредоносные приложения OAuth на скомпрометированных облачных арендаторах с целью захвата серверов Microsoft Exchange для распространения спама.

Об этом сообщает исследовательская группа Microsoft 365 Defender, которая на этой неделе подробно описала, как атаки с подстановкой учетных данных были запущены против учетных записей с высоким риском, для которых не включена многофакторная проверка подлинности (MFA), а затем использовались незащищенные учетные записи администратора для получения первоначального доступа.

Злоумышленники впоследствии смогли создать вредоносное приложение OAuth, которое добавило вредоносный коннектор входящей почты на сервер электронной почты.

Модифицированный доступ к серверу

«Эти изменения в настройках сервера Exchange позволили злоумышленнику выполнить свою основную цель атаки: рассылать спам по электронной почте», — отметили исследователи. в блоге 22 сентября. «Спам-письма были отправлены как часть мошеннической схемы розыгрыша, призванной обманом заставить получателей подписаться на повторяющиеся платные подписки».

Исследовательская группа пришла к выводу, что мотив хакера состоял в том, чтобы распространять вводящие в заблуждение спам-сообщения о лотереях, побуждая жертв передавать информацию о кредитной карте, чтобы активировать повторяющуюся подписку, которая давала им «шанс выиграть приз».

«Хотя эта схема, вероятно, привела к нежелательным платежам для целей, не было никаких доказательств явных угроз безопасности, таких как фишинг учетных данных или распространение вредоносного ПО», — отметила исследовательская группа.

В сообщении также указывалось, что растущее число злоумышленников развертывает приложения OAuth для различных кампаний, от бэкдоров и фишинговых атак до командно-контрольной связи (C2) и перенаправлений.

Microsoft рекомендовала внедрить методы безопасности, такие как MFA, которые укрепляют учетные данные, а также политики условного доступа и непрерывную оценку доступа (CAE).

«В то время как последующая спам-кампания нацелена на учетные записи электронной почты потребителей, эта атака нацелена на корпоративных клиентов, которые будут использоваться в качестве инфраструктуры для этой кампании», — добавила исследовательская группа. «Таким образом, эта атака выявляет слабые места в безопасности, которые могут быть использованы другими субъектами угроз в атаках, которые могут напрямую повлиять на затронутые предприятия».

MFA может помочь, но требуются дополнительные политики контроля доступа

«Хотя MFA — отличное начало и могло бы помочь Microsoft в этом случае, мы недавно видели в новостях, что не все МФА одинаковы», — отмечает Дэвид Линднер, директор по информационной безопасности компании Contrast Security. «Нам как организации, занимающейся безопасностью, пора начать с того, что «имя пользователя и пароль скомпрометированы», и создать вокруг этого средства контроля».

Линднер говорит, что сообщество безопасности должно начать с некоторых основ и следовать принципу наименьших привилегий, чтобы создать соответствующие бизнес-ориентированные политики управления доступом на основе ролей.

«Нам нужно установить соответствующие технические средства управления, такие как MFA — FIDO2 как лучший вариант — аутентификацию на основе устройства, тайм-ауты сеанса и т. д.», — добавляет он.

Наконец, организациям необходимо отслеживать аномалии, такие как «невозможные входы в систему» ​​(т. е. попытки входа в одну и ту же учетную запись, скажем, из Бостона и Далласа с разницей в 20 минут); попытки грубой силы; и попытки пользователя получить доступ к неавторизованным системам.

«Мы можем это сделать, и мы можем значительно повысить уровень безопасности организации за одну ночь, ужесточив наши механизмы аутентификации», — говорит Линднер.