Proč na MFA záleží: Tito útočníci prolomili účty administrátorů a poté použili Exchange k rozesílání spamu

Společnost Microsoft odhalila lstivý případ zneužití aplikace OAuth, který útočníkům umožnil překonfigurovat Exchange server oběti na odesílání spamu.     

Smyslem propracovaného útoku bylo, aby hromadný spam – propagující falešnou loterii – vypadal, jako by pocházel z kompromitované domény Exchange, spíše než ze skutečného původu, kterým byly buď jejich vlastní IP adresy, nebo e-mailové marketingové služby třetích stran, tvrdí Microsoft. . 

Sázková lest byla použita k oklamání příjemců, aby poskytli podrobnosti o kreditní kartě a přihlásili se k opakovaným odběrům. 

„Ačkoli schéma mohlo vést k nechtěným poplatkům za cíle, neexistovaly žádné důkazy o zjevných bezpečnostních hrozbách, jako je phishing pověření nebo distribuce malwaru,“ uvedl výzkumný tým Microsoft 365 Defender Research Team.

Také: Co přesně je kybernetická bezpečnost? A proč na tom záleží?

Aby mohl server Exchange odesílat spam, útočníci nejprve kompromitovali špatně chráněného cloudového tenanta cíle a poté získali přístup k privilegovaným uživatelským účtům, aby v prostředí vytvořili škodlivé a privilegované aplikace OAuth. OAuth apps umožnit uživatelům udělit omezený přístup jiným apps, ale tady toho útočníci využili jinak. 

Žádný ze zacílených administrátorských účtů neměl zapnutou vícefaktorovou autentizaci (MFA), která by mohla útoky zastavit.

„Je také důležité poznamenat, že všichni napadení administrátoři neměli povoleno MFA, což mohlo zastavit útok. Tato pozorování umocňují důležitost zabezpečení účtů a monitorování vysoce rizikových uživatelů, zejména těch s vysokými oprávněními,“ uvedl Microsoft.

Jakmile byli uvnitř, použili Azure Active Directory (AAD) k registraci aplikace, přidali oprávnění k ověřování pouze aplikací modulu Exchange Online PowerShell, udělili souhlas správce s tímto oprávněním a poté nově zaregistrovaným udělili role globálního správce a správce Exchange. aplikace.       

„Aktor hrozby přidal své vlastní přihlašovací údaje do aplikace OAuth, což jim umožnilo přístup k aplikaci, i když jim původně napadený globální správce změnil heslo,“ poznamenává Microsoft. 

"Zmíněné aktivity daly aktérovi hrozby kontrolu nad vysoce privilegovanou aplikací."

S tím vším se útočníci pomocí aplikace OAuth připojili k modulu Exchange Online PowerShell a změnili nastavení Exchange, takže server směroval spam z jejich vlastních IP adres souvisejících s infrastrukturou útočníka. 

K tomu použili funkci serveru Exchange s názvem „konektory“ pro přizpůsobení způsobu toku e-mailů do az organizací používajících Microsoft 365/Office 365. Herec vytvořil nový příchozí konektor a nastavil tucet “přepravní řád” pro Exchange Online, který odstranil sadu hlaviček ve spamu směrovaném Exchange, aby zvýšil úspěšnost spamové kampaně. Odstranění záhlaví umožňuje e-mailu vyhnout se detekci bezpečnostními produkty. 

„Po každé spamové kampani aktér smazal škodlivý příchozí konektor a pravidla přenosu, aby zabránil odhalení, zatímco aplikace zůstala nasazena v tenantovi až do další vlny útoku (v některých případech byla aplikace nečinná několik měsíců, než byla znovu použita. aktérem hrozby),“ vysvětluje Microsoft.    

Microsoft loni podrobně popsal, jak útočníci zneužívali OAuth k phishingu se souhlasem. Mezi další známá použití aplikací OAuth pro škodlivé účely patří komunikace příkazů a řízení (C2), zadní vrátka, phishing a přesměrování. Dokonce i Nobelium, skupina, která zaútočila na SolarWinds v rámci útoku na dodavatelský řetězec, ano zneužil OAuth k umožnění širších útoků.