ผู้โจมตีกำลังปรับใช้แอปพลิเคชัน OAuth ที่เป็นอันตรายกับผู้เช่าระบบคลาวด์ที่ถูกบุกรุก โดยมีเป้าหมายเพื่อเข้าครอบครอง Microsoft Exchange Servers เพื่อกระจายสแปม
เป็นไปตามที่ทีมวิจัย Microsoft 365 Defender ได้ให้รายละเอียดในสัปดาห์นี้ว่าการโจมตีการยัดข้อมูลรับรองเปิดตัวกับบัญชีที่มีความเสี่ยงสูงที่ไม่ได้เปิดใช้งานการรับรองความถูกต้องแบบหลายปัจจัย (MFA) ได้อย่างไร จากนั้นจึงใช้ประโยชน์จากบัญชีผู้ดูแลระบบที่ไม่ปลอดภัยเพื่อเข้าถึงเบื้องต้น
ต่อมาผู้โจมตีสามารถสร้างแอป OAuth ที่เป็นอันตราย ซึ่งเพิ่มตัวเชื่อมต่อขาเข้าที่เป็นอันตรายในเซิร์ฟเวอร์อีเมล
การเข้าถึงเซิร์ฟเวอร์ที่แก้ไข
“การปรับเปลี่ยนการตั้งค่าเซิร์ฟเวอร์ Exchange เหล่านี้ทำให้ผู้คุกคามสามารถดำเนินการตามเป้าหมายหลักในการโจมตี นั่นคือการส่งอีเมลสแปม” นักวิจัยระบุ ในโพสต์บล็อก เมื่อวันที่ 22 กันยายน “อีเมลสแปมถูกส่งโดยเป็นส่วนหนึ่งของแผนการชิงโชคที่หลอกลวง โดยมีจุดประสงค์เพื่อหลอกให้ผู้รับลงชื่อสมัครรับข้อมูลแบบชำระเงินซ้ำๆ”
ทีมวิจัยสรุปว่าแรงจูงใจของแฮ็กเกอร์คือการเผยแพร่ข้อความสแปมที่ทำให้เข้าใจผิดเกี่ยวกับการชิงโชค ชักจูงให้เหยื่อส่งข้อมูลบัตรเครดิตเพื่อให้สมัครรับข้อมูลแบบประจำซึ่งจะให้ “โอกาสชนะรางวัล” แก่พวกเขา
“แม้ว่าแผนนี้อาจส่งผลให้เกิดการเรียกเก็บเงินที่ไม่พึงประสงค์ไปยังเป้าหมาย แต่ก็ไม่มีหลักฐานใดที่บ่งชี้ถึงภัยคุกคามความปลอดภัยที่เปิดเผย เช่น ฟิชชิงข้อมูลรับรองหรือการแพร่กระจายของมัลแวร์” ทีมวิจัยระบุ
โพสต์ยังชี้ให้เห็นว่าจำนวนผู้ประสงค์ร้ายจำนวนมากขึ้นได้ปรับใช้แอปพลิเคชัน OAuth สำหรับแคมเปญต่างๆ ตั้งแต่การโจมตีแบบแบ็คดอร์และฟิชชิ่ง ไปจนถึงการสื่อสารและการเปลี่ยนเส้นทางด้วยคำสั่งและการควบคุม (C2)
Microsoft แนะนำให้ใช้แนวทางปฏิบัติด้านความปลอดภัย เช่น MFA ที่เสริมความแข็งแกร่งให้กับข้อมูลประจำตัวของบัญชี ตลอดจนนโยบายการเข้าถึงแบบมีเงื่อนไขและการประเมินการเข้าถึงอย่างต่อเนื่อง (CAE)
“ในขณะที่แคมเปญสแปมที่ตามมามุ่งเป้าไปที่บัญชีอีเมลของผู้บริโภค การโจมตีนี้มุ่งเป้าไปที่ผู้เช่าขององค์กรเพื่อใช้เป็นโครงสร้างพื้นฐานสำหรับแคมเปญนี้” ทีมวิจัยกล่าวเสริม “การโจมตีนี้จึงเปิดโปงจุดอ่อนด้านความปลอดภัยที่สามารถใช้โดยผู้คุกคามรายอื่นในการโจมตีที่อาจส่งผลกระทบโดยตรงต่อองค์กรที่ได้รับผลกระทบ”
MFA สามารถช่วยได้ แต่จำเป็นต้องมีนโยบายการควบคุมการเข้าถึงเพิ่มเติม
“ในขณะที่ MFA เป็นการเริ่มต้นที่ดีและอาจช่วย Microsoft ในกรณีนี้ เราได้เห็นข่าวเมื่อเร็วๆ นี้ว่า ไม่ใช่ว่า MFA ทั้งหมดจะเหมือนกัน” David Lindner, CISO ที่ Contrast Security กล่าว “ในฐานะองค์กรรักษาความปลอดภัย ถึงเวลาแล้วที่เราจะเริ่มต้นจาก 'ชื่อผู้ใช้และรหัสผ่านถูกบุกรุก' และสร้างการควบคุมเกี่ยวกับสิ่งนั้น”
Lindner กล่าวว่าชุมชนการรักษาความปลอดภัยจำเป็นต้องเริ่มต้นด้วยพื้นฐานบางอย่างและปฏิบัติตามหลักการของสิทธิ์ขั้นต่ำเพื่อสร้างนโยบายการควบคุมการเข้าถึงตามบทบาทที่เหมาะสมซึ่งขับเคลื่อนโดยธุรกิจ
“เราจำเป็นต้องตั้งค่าการควบคุมทางเทคนิคที่เหมาะสม เช่น MFA — FIDO2 เป็นตัวเลือกที่ดีที่สุด — การรับรองความถูกต้องตามอุปกรณ์ การหมดเวลาเซสชัน และอื่นๆ” เขากล่าวเสริม
ประการสุดท้าย องค์กรจำเป็นต้องตรวจสอบความผิดปกติ เช่น “การเข้าสู่ระบบที่เป็นไปไม่ได้” (เช่น การพยายามเข้าสู่ระบบบัญชีเดียวกันจากบอสตันและดัลลัส ซึ่งห่างกัน 20 นาที) ความพยายามอย่างดุร้าย; และผู้ใช้พยายามเข้าถึงระบบที่ไม่ได้รับอนุญาต
“เราสามารถทำได้ และเราสามารถเพิ่มมาตรการรักษาความปลอดภัยขององค์กรได้อย่างมากในชั่วข้ามคืนด้วยการทำให้กลไกการตรวจสอบสิทธิ์ของเรารัดกุมขึ้น” ลินด์เนอร์กล่าว
- blockchain
- กระเป๋าสตางค์ cryptocurrency
- การแลกเปลี่ยนการเข้ารหัสลับ
- การรักษาความปลอดภัยในโลกไซเบอร์
- อาชญากรไซเบอร์
- cybersecurity
- การอ่านที่มืด
- กรมความมั่นคงภายในประเทศ
- กระเป๋าสตางค์ดิจิตอล
- ไฟร์วอลล์
- Kaspersky
- มัลแวร์
- แมคคาฟี
- เน็กซ์บล๊อก
- เพลโต
- เพลโตไอ
- เพลโตดาต้าอินเทลลิเจนซ์
- เกมเพลโต
- เพลโตดาต้า
- เพลโตเกม
- VPN
- ความปลอดภัยของเว็บไซต์