سبب أهمية MFA: قام هؤلاء المهاجمون باختراق حسابات المسؤول ثم استخدموا Exchange لإرسال رسائل غير مرغوب فيها

كشفت Microsoft عن حالة ماكرة من إساءة استخدام تطبيق OAuth سمحت للمهاجمين بإعادة تكوين خادم Exchange للضحية لإرسال رسائل غير مرغوب فيها.     

كان الهدف من الهجوم الدقيق هو جعل البريد العشوائي الجماعي - الترويج لمسابقة يانصيب وهمية - يبدو وكأنه نشأ من مجال Exchange المخترق بدلاً من الأصول الفعلية ، والتي كانت إما عنوان IP الخاص بهم أو خدمات التسويق عبر البريد الإلكتروني لجهة خارجية ، وفقًا لمايكروسوفت . 

تم استخدام خدعة اليانصيب لخداع المستلمين لتقديم تفاصيل بطاقة الائتمان والاشتراك في الاشتراكات المتكررة. 

قال فريق Microsoft 365 Defender Research Team: "في حين أن المخطط قد يؤدي إلى رسوم غير مرغوب فيها للأهداف ، لم يكن هناك دليل على وجود تهديدات أمنية علنية مثل تصيد بيانات الاعتماد أو توزيع البرامج الضارة".

أيضا: ما هو الأمن السيبراني بالضبط؟ ولماذا هذا مهم؟

لجعل خادم Exchange يرسل رسائل البريد العشوائي الخاصة بهم ، قام المهاجمون أولاً بخرق مستأجر السحابة المحمي بشكل ضعيف للهدف ثم حصلوا على حق الوصول إلى حسابات المستخدمين المتميزة لإنشاء تطبيقات OAuth ضارة ومميزة داخل البيئة. OAuth apps السماح للمستخدمين بمنح وصول محدود للآخرين apps، لكن المهاجمين استخدموه بشكل مختلف. 

لم يتم تشغيل المصادقة متعددة العوامل (MFA) في أي من حسابات المسؤول التي تم استهدافها ، مما قد يوقف الهجمات.

"من المهم أيضًا ملاحظة أن جميع المشرفين المخترقين لم يتم تمكين MFA ، مما قد يوقف الهجوم. وتضخّم هذه الملاحظات أهمية تأمين الحسابات والمراقبة للمستخدمين المعرضين لمخاطر عالية ، لا سيما أولئك الذين يتمتعون بامتيازات عالية ، "قالت Microsoft.

بمجرد دخولهم ، استخدموا Azure Active Directory (AAD) لتسجيل التطبيق ، وأضافوا إذنًا لمصادقة التطبيق فقط لوحدة Exchange Online PowerShell ، ومنحوا موافقة المسؤول على هذا الإذن ، ثم منحوا أدوار المسؤول العام ومسؤول Exchange إلى المسجلين حديثًا تطبيق.       

تلاحظ Microsoft: "أضاف ممثل التهديد بيانات اعتماده الخاصة إلى تطبيق OAuth ، مما مكنه من الوصول إلى التطبيق حتى إذا قام المسؤول العالمي المخترق في البداية بتغيير كلمة المرور الخاصة به". 

"الأنشطة المذكورة أعطت الجهة الفاعلة المهدد السيطرة على تطبيق ذي امتيازات عالية."

مع تطبيق كل هذا ، استخدم المهاجمون تطبيق OAuth للاتصال بوحدة Exchange Online PowerShell وتغيير إعدادات Exchange ، بحيث يقوم الخادم بتوجيه البريد العشوائي من عناوين IP الخاصة بهم المتعلقة بالبنية التحتية للمهاجم. 

للقيام بذلك ، استخدموا ميزة خادم Exchange تسمى "موصلات"لتخصيص طريقة تدفق البريد الإلكتروني من وإلى المؤسسات باستخدام Microsoft 365 / Office 365. أنشأ الممثل موصلًا واردًا جديدًا وأعد عشرات"قواعد النقل"لـ Exchange Online التي حذفت مجموعة من الرؤوس في البريد العشوائي الموجه إلى Exchange لتعزيز معدل نجاح حملة البريد العشوائي. تسمح إزالة الرؤوس للبريد الإلكتروني بتجنب الكشف عن طريق منتجات الأمان. 

"بعد كل حملة بريد عشوائي ، حذف الممثل الموصل الداخلي الضار وقواعد النقل لمنع الاكتشاف ، بينما ظل التطبيق منتشرًا في المستأجر حتى الموجة التالية من الهجوم (في بعض الحالات ، كان التطبيق خاملاً لعدة أشهر قبل إعادة استخدامه تشرح Microsoft.    

وصفت Microsoft العام الماضي بالتفصيل كيف أساء المهاجمون استخدام OAuth من أجل تصيّد الموافقة. تشمل الاستخدامات المعروفة الأخرى لتطبيقات OAuth للأغراض الضارة اتصالات الأوامر والتحكم (C2) والأبواب الخلفية والتصيد الاحتيالي وإعادة التوجيه. حتى نوبلوم ، المجموعة التي هاجمت سولارويندز في هجوم لسلسلة التوريد ، فعلت ذلك إساءة استخدام بروتوكول OAuth لتمكين هجمات أوسع نطاقًا.