Saldırganlar, spam yaymak için Microsoft Exchange Sunucularını ele geçirmek amacıyla güvenliği ihlal edilmiş bulut kiracıları üzerinde kötü amaçlı OAuth uygulamaları kuruyor.
Bu, çok faktörlü kimlik doğrulamanın (MFA) etkin olmadığı yüksek riskli hesaplara karşı kimlik bilgisi doldurma saldırılarının nasıl başlatıldığını ve ardından ilk erişim elde etmek için güvenli olmayan yönetici hesaplarından yararlanıldığını bu hafta ayrıntılı olarak açıklayan Microsoft 365 Defender Araştırma Ekibine göre.
Saldırganlar daha sonra, e-posta sunucusuna kötü amaçlı bir gelen bağlayıcı ekleyen kötü amaçlı bir OAuth uygulaması oluşturmayı başardı.
Değiştirilmiş Sunucu Erişimi
Araştırmacılar, "Exchange sunucusu ayarlarında yapılan bu değişiklikler, tehdit aktörünün saldırıdaki birincil hedefini gerçekleştirmesine izin verdi: istenmeyen e-postalar göndermek" bir blog yazısı 22 Eylül'de. "Spam e-postalar, alıcıları tekrar eden ücretli aboneliklere kaydolmaları için kandırmayı amaçlayan aldatıcı bir çekiliş planının parçası olarak gönderildi."
Araştırma ekibi, bilgisayar korsanının amacının, çekilişler hakkında yanıltıcı spam mesajları yaymak ve kurbanları kendilerine "ödül kazanma şansı" sunacak yinelenen bir abonelik sağlamak için kredi kartı bilgilerini teslim etmeye teşvik etmek olduğu sonucuna vardı.
Araştırma ekibi, "Plan büyük olasılıkla hedeflere yönelik istenmeyen suçlamalarla sonuçlansa da, kimlik bilgileri kimlik avı veya kötü amaçlı yazılım dağıtımı gibi açık güvenlik tehditlerine dair hiçbir kanıt yoktu" dedi.
Gönderi ayrıca, artmakta olan kötü niyetli aktör popülasyonunun, arka kapılar ve kimlik avı saldırılarından komuta ve kontrol (C2) iletişimi ve yeniden yönlendirmelere kadar çeşitli kampanyalar için OAuth uygulamalarını kullandığına işaret etti.
Microsoft, hesap kimlik bilgilerini güçlendiren MFA gibi güvenlik uygulamalarının yanı sıra koşullu erişim ilkeleri ve sürekli erişim değerlendirmesi (CAE) uygulanmasını önerdi.
Araştırma ekibi, "Takip eden spam kampanyası tüketici e-posta hesaplarını hedeflerken, bu saldırı kurumsal kiracıları bu kampanya için altyapı olarak kullanmayı hedefliyor" diye ekledi. "Böylece bu saldırı, etkilenen işletmeleri doğrudan etkileyebilecek saldırılarda diğer tehdit aktörleri tarafından kullanılabilecek güvenlik zayıflıklarını açığa çıkarıyor."
MFA Yardımcı Olabilir, Ancak Ek Erişim Kontrolü İlkeleri Gerekiyor
"MFA harika bir başlangıç olsa ve bu durumda Microsoft'a yardım etmiş olsa da, son zamanlarda haberlerde şunu gördük: tüm MFA aynı değildir, ”diyor Contrast Security'de CISO'dan David Lindner. "Bir güvenlik kuruluşu olarak, 'kullanıcı adı ve parolanın güvenliği ihlal edilmiş'ten başlayıp kontrolleri buna göre oluşturmamızın zamanı geldi."
Lindner, güvenlik topluluğunun bazı temel bilgilerle başlaması ve uygun, iş odaklı, rol tabanlı erişim denetimi ilkeleri oluşturmak için en az ayrıcalık ilkesini izlemesi gerektiğini söylüyor.
"En iyi seçeneğiniz olarak MFA - FIDO2 - cihaz tabanlı kimlik doğrulama, oturum zaman aşımları vb. gibi uygun teknik kontrolleri ayarlamamız gerekiyor" diye ekliyor.
Son olarak, kuruluşların "imkansız girişler" gibi anormallikleri izlemesi gerekir (örneğin, aynı hesaba Boston ve Dallas'tan 20 dakika arayla giriş denemeleri); kaba kuvvet girişimleri; ve kullanıcı yetkisiz sistemlere erişmeye çalışır.
Lindner, "Bunu yapabiliriz ve kimlik doğrulama mekanizmalarımızı sıkılaştırarak bir kuruluşun güvenlik duruşunu bir gecede büyük ölçüde artırabiliriz" diyor.
