ผู้โจมตีทางไซเบอร์โจมตี Microsoft Exchange Servers ผ่านแอป OAuth ที่เป็นอันตราย

ผู้โจมตีกำลังปรับใช้แอปพลิเคชัน OAuth ที่เป็นอันตรายกับผู้เช่าระบบคลาวด์ที่ถูกบุกรุก โดยมีเป้าหมายเพื่อเข้าครอบครอง Microsoft Exchange Servers เพื่อกระจายสแปม

เป็นไปตามที่ทีมวิจัย Microsoft 365 Defender ได้ให้รายละเอียดในสัปดาห์นี้ว่าการโจมตีการยัดข้อมูลรับรองเปิดตัวกับบัญชีที่มีความเสี่ยงสูงที่ไม่ได้เปิดใช้งานการรับรองความถูกต้องแบบหลายปัจจัย (MFA) ได้อย่างไร จากนั้นจึงใช้ประโยชน์จากบัญชีผู้ดูแลระบบที่ไม่ปลอดภัยเพื่อเข้าถึงเบื้องต้น

ต่อมาผู้โจมตีสามารถสร้างแอป OAuth ที่เป็นอันตราย ซึ่งเพิ่มตัวเชื่อมต่อขาเข้าที่เป็นอันตรายในเซิร์ฟเวอร์อีเมล

การเข้าถึงเซิร์ฟเวอร์ที่แก้ไข

“การปรับเปลี่ยนการตั้งค่าเซิร์ฟเวอร์ Exchange เหล่านี้ทำให้ผู้คุกคามสามารถดำเนินการตามเป้าหมายหลักในการโจมตี นั่นคือการส่งอีเมลสแปม” นักวิจัยระบุ ในโพสต์บล็อก เมื่อวันที่ 22 กันยายน “อีเมลสแปมถูกส่งโดยเป็นส่วนหนึ่งของแผนการชิงโชคที่หลอกลวง โดยมีจุดประสงค์เพื่อหลอกให้ผู้รับลงชื่อสมัครรับข้อมูลแบบชำระเงินซ้ำๆ”

ทีมวิจัยสรุปว่าแรงจูงใจของแฮ็กเกอร์คือการเผยแพร่ข้อความสแปมที่ทำให้เข้าใจผิดเกี่ยวกับการชิงโชค ชักจูงให้เหยื่อส่งข้อมูลบัตรเครดิตเพื่อให้สมัครรับข้อมูลแบบประจำซึ่งจะให้ “โอกาสชนะรางวัล” แก่พวกเขา

“แม้ว่าแผนนี้อาจส่งผลให้เกิดการเรียกเก็บเงินที่ไม่พึงประสงค์ไปยังเป้าหมาย แต่ก็ไม่มีหลักฐานใดที่บ่งชี้ถึงภัยคุกคามความปลอดภัยที่เปิดเผย เช่น ฟิชชิงข้อมูลรับรองหรือการแพร่กระจายของมัลแวร์” ทีมวิจัยระบุ

โพสต์ยังชี้ให้เห็นว่าจำนวนผู้ประสงค์ร้ายจำนวนมากขึ้นได้ปรับใช้แอปพลิเคชัน OAuth สำหรับแคมเปญต่างๆ ตั้งแต่การโจมตีแบบแบ็คดอร์และฟิชชิ่ง ไปจนถึงการสื่อสารและการเปลี่ยนเส้นทางด้วยคำสั่งและการควบคุม (C2)

Microsoft แนะนำให้ใช้แนวทางปฏิบัติด้านความปลอดภัย เช่น MFA ที่เสริมความแข็งแกร่งให้กับข้อมูลประจำตัวของบัญชี ตลอดจนนโยบายการเข้าถึงแบบมีเงื่อนไขและการประเมินการเข้าถึงอย่างต่อเนื่อง (CAE)

“ในขณะที่แคมเปญสแปมที่ตามมามุ่งเป้าไปที่บัญชีอีเมลของผู้บริโภค การโจมตีนี้มุ่งเป้าไปที่ผู้เช่าขององค์กรเพื่อใช้เป็นโครงสร้างพื้นฐานสำหรับแคมเปญนี้” ทีมวิจัยกล่าวเสริม “การโจมตีนี้จึงเปิดโปงจุดอ่อนด้านความปลอดภัยที่สามารถใช้โดยผู้คุกคามรายอื่นในการโจมตีที่อาจส่งผลกระทบโดยตรงต่อองค์กรที่ได้รับผลกระทบ”

MFA สามารถช่วยได้ แต่จำเป็นต้องมีนโยบายการควบคุมการเข้าถึงเพิ่มเติม

“ในขณะที่ MFA เป็นการเริ่มต้นที่ดีและอาจช่วย Microsoft ในกรณีนี้ เราได้เห็นข่าวเมื่อเร็วๆ นี้ว่า ไม่ใช่ว่า MFA ทั้งหมดจะเหมือนกัน” David Lindner, CISO ที่ Contrast Security กล่าว “ในฐานะองค์กรรักษาความปลอดภัย ถึงเวลาแล้วที่เราจะเริ่มต้นจาก 'ชื่อผู้ใช้และรหัสผ่านถูกบุกรุก' และสร้างการควบคุมเกี่ยวกับสิ่งนั้น”

Lindner กล่าวว่าชุมชนการรักษาความปลอดภัยจำเป็นต้องเริ่มต้นด้วยพื้นฐานบางอย่างและปฏิบัติตามหลักการของสิทธิ์ขั้นต่ำเพื่อสร้างนโยบายการควบคุมการเข้าถึงตามบทบาทที่เหมาะสมซึ่งขับเคลื่อนโดยธุรกิจ

“เราจำเป็นต้องตั้งค่าการควบคุมทางเทคนิคที่เหมาะสม เช่น MFA — FIDO2 เป็นตัวเลือกที่ดีที่สุด — การรับรองความถูกต้องตามอุปกรณ์ การหมดเวลาเซสชัน และอื่นๆ” เขากล่าวเสริม

ประการสุดท้าย องค์กรจำเป็นต้องตรวจสอบความผิดปกติ เช่น “การเข้าสู่ระบบที่เป็นไปไม่ได้” (เช่น การพยายามเข้าสู่ระบบบัญชีเดียวกันจากบอสตันและดัลลัส ซึ่งห่างกัน 20 นาที) ความพยายามอย่างดุร้าย; และผู้ใช้พยายามเข้าถึงระบบที่ไม่ได้รับอนุญาต

“เราสามารถทำได้ และเราสามารถเพิ่มมาตรการรักษาความปลอดภัยขององค์กรได้อย่างมากในชั่วข้ามคืนด้วยการทำให้กลไกการตรวจสอบสิทธิ์ของเรารัดกุมขึ้น” ลินด์เนอร์กล่าว