حملہ آور سمجھوتہ کرنے والے کلاؤڈ کرایہ داروں پر نقصان دہ OAuth ایپلیکیشنز تعینات کر رہے ہیں، جس کا مقصد سپیم پھیلانے کے لیے Microsoft Exchange سرورز پر قبضہ کرنا ہے۔
یہ مائیکروسافٹ 365 ڈیفنڈر ریسرچ ٹیم کے مطابق ہے، جس نے اس ہفتے تفصیل سے بتایا کہ کس طرح اعلی خطرے والے اکاؤنٹس کے خلاف کریڈینشل اسٹفنگ حملے شروع کیے گئے ہیں جن میں ملٹی فیکٹر تصدیق (MFA) فعال نہیں ہے، پھر ابتدائی رسائی حاصل کرنے کے لیے غیر محفوظ ایڈمنسٹریٹر اکاؤنٹس کا فائدہ اٹھانا۔
حملہ آور بعد میں ایک نقصان دہ OAuth ایپ بنانے میں کامیاب ہو گئے، جس نے ای میل سرور میں ایک نقصان دہ ان باؤنڈ کنیکٹر کو شامل کیا۔
ترمیم شدہ سرور تک رسائی
"ایکسچینج سرور کی ترتیبات میں ان تبدیلیوں نے خطرے کے اداکار کو حملے میں اپنا بنیادی مقصد انجام دینے کی اجازت دی: سپیم ای میلز بھیجنا،" محققین نے نوٹ کیا۔ ایک بلاگ پوسٹ میں 22 ستمبر کو۔ "سپیم ای میلز ایک فریب دینے والی سویپ اسٹیکس اسکیم کے حصے کے طور پر بھیجی گئی تھیں جس کا مقصد وصول کنندگان کو بار بار چلنے والی بامعاوضہ سبسکرپشنز کے لیے سائن اپ کرنے کے لیے دھوکہ دینا تھا۔"
تحقیقی ٹیم نے یہ نتیجہ اخذ کیا کہ ہیکر کا مقصد سویپ اسٹیکس کے بارے میں گمراہ کن اسپام پیغامات پھیلانا تھا، جس سے متاثرین کو کریڈٹ کارڈ کی معلومات حوالے کرنے پر آمادہ کیا جاتا تھا تاکہ وہ بار بار چلنے والی سبسکرپشن کو فعال کر سکیں جو انہیں "انعام جیتنے کا موقع" فراہم کرے گی۔
"جبکہ اس اسکیم کے نتیجے میں ممکنہ طور پر اہداف کے لیے ناپسندیدہ چارجز لگتے ہیں، لیکن اس میں واضح حفاظتی خطرات جیسے کہ کریڈینشل فشنگ یا مالویئر کی تقسیم کا کوئی ثبوت نہیں تھا،" تحقیقی ٹیم نے نوٹ کیا۔
پوسٹ نے یہ بھی نشاندہی کی کہ بدنیتی پر مبنی اداکاروں کی بڑھتی ہوئی آبادی مختلف مہمات کے لیے OAuth ایپلی کیشنز کو تعینات کر رہی ہے، بیک ڈور اور فشنگ حملوں سے لے کر کمانڈ اینڈ کنٹرول (C2) کمیونیکیشن اور ری ڈائریکشن تک۔
مائیکروسافٹ نے MFA جیسے حفاظتی طریقوں کو لاگو کرنے کی سفارش کی جو اکاؤنٹ کی اسناد کو مضبوط بناتے ہیں، نیز مشروط رسائی کی پالیسیاں اور مسلسل رسائی کی تشخیص (CAE)۔
"جب کہ فالو آن سپیم مہم صارفین کے ای میل اکاؤنٹس کو نشانہ بناتی ہے، یہ حملہ انٹرپرائز کرایہ داروں کو اس مہم کے لیے بنیادی ڈھانچے کے طور پر استعمال کرنے کے لیے نشانہ بناتا ہے،" تحقیقی ٹیم نے مزید کہا۔ "یہ حملہ اس طرح سیکورٹی کی کمزوریوں کو بے نقاب کرتا ہے جو دوسرے خطرے والے اداکاروں کے ذریعہ حملوں میں استعمال کیا جا سکتا ہے جو براہ راست متاثرہ کاروباری اداروں کو متاثر کر سکتا ہے."
MFA مدد کر سکتا ہے، لیکن اضافی رسائی کنٹرول پالیسیاں درکار ہیں۔
"اگرچہ MFA ایک بہترین آغاز ہے اور اس معاملے میں Microsoft کی مدد کر سکتا تھا، ہم نے حال ہی میں خبروں میں دیکھا ہے کہ تمام MFA ایک جیسے نہیں ہیں۔ڈیوڈ لنڈنر، کنٹراسٹ سیکیورٹی میں سی آئی ایس او نوٹ کرتا ہے۔ "ایک سیکورٹی تنظیم کے طور پر، اب وقت آگیا ہے کہ ہم 'صارف نام اور پاس ورڈ سے سمجھوتہ کیا گیا ہے' سے شروعات کریں اور اس کے ارد گرد کنٹرول بنائیں۔"
لِنڈنر کا کہنا ہے کہ سیکیورٹی کمیونٹی کو کچھ بنیادی باتوں کے ساتھ شروع کرنے اور مناسب، کاروبار پر مبنی، کردار پر مبنی رسائی کنٹرول پالیسیاں بنانے کے لیے کم از کم استحقاق کے اصول پر عمل کرنے کی ضرورت ہے۔
"ہمیں MFA - FIDO2 جیسے مناسب تکنیکی کنٹرولز کو آپ کے بہترین آپشن کے طور پر سیٹ کرنے کی ضرورت ہے - ڈیوائس پر مبنی تصدیق، سیشن کا ٹائم آؤٹ وغیرہ،" وہ مزید کہتے ہیں۔
آخر میں، تنظیموں کو "ناممکن لاگ ان" جیسی بے ضابطگیوں کی نگرانی کرنے کی ضرورت ہے (یعنی، بوسٹن اور ڈلاس سے ایک ہی اکاؤنٹ میں لاگ ان کی کوششیں، جو کہ 20 منٹ کے فاصلے پر ہیں)؛ وحشیانہ طاقت کی کوششیں؛ اور صارف غیر مجاز نظاموں تک رسائی کی کوشش کرتا ہے۔
لِنڈنر کا کہنا ہے کہ "ہم یہ کر سکتے ہیں، اور ہم اپنے تصدیقی طریقہ کار کو سخت کر کے راتوں رات کسی تنظیم کی حفاظتی پوزیشن کو بہت زیادہ بڑھا سکتے ہیں۔"
