Hvorfor MFA betyder noget: Disse angribere knækkede adminkonti og brugte derefter Exchange til at sende spam

Microsoft har afsløret et snedigt tilfælde af OAuth-appmisbrug, der gjorde det muligt for angriberne at omkonfigurere ofrets Exchange-server til at sende spam.     

Pointen med det omfattende angreb var at få massespam – der promoverede en falsk konkurrence – til at se ud som om den stammede fra det kompromitterede Exchange-domæne snarere end den faktiske oprindelse, som enten var deres egen IP-adresse eller tredjeparts e-mail-marketingtjenester, ifølge Microsoft . 

Sweepstake-rusen blev brugt til at narre modtagere til at give kreditkortoplysninger og tilmelde sig tilbagevendende abonnementer. 

"Selvom ordningen muligvis førte til uønskede sigtelser for mål, var der ingen beviser for åbenlyse sikkerhedstrusler såsom legitimationsphishing eller malwaredistribution," sagde Microsoft 365 Defender Research Team.

Også: Hvad er cybersikkerhed egentlig? Og hvorfor betyder det noget?

For at få Exchange-serveren til at sende deres spam kompromitterede angriberne først målets dårligt beskyttede cloud-lejer og fik derefter adgang til privilegerede brugerkonti for at skabe ondsindede og privilegerede OAuth-applikationer i miljøet. OAuth apps lad brugere give begrænset adgang til andre apps, men angriberne her brugte det anderledes. 

Ingen af ​​de administratorkonti, der var målrettet, havde multi-faktor-autentificering (MFA) aktiveret, hvilket kunne have stoppet angrebene.

"Det er også vigtigt at bemærke, at alle de kompromitterede administratorer ikke havde MFA aktiveret, hvilket kunne have stoppet angrebet. Disse observationer forstærker vigtigheden af ​​at sikre konti og overvågning for højrisikobrugere, især dem med høje privilegier,” sagde Microsoft.

Da de først var inde, brugte de Azure Active Directory (AAD) til at registrere appen, tilføjede en tilladelse til app-only-godkendelse af Exchange Online PowerShell-modul, gav administratorsamtykke til den tilladelse og gav derefter globale administrator- og Exchange-administratorroller til de nyligt registrerede app.       

"Trusselsaktøren tilføjede deres egne legitimationsoplysninger til OAuth-applikationen, hvilket gjorde det muligt for dem at få adgang til applikationen, selvom den oprindeligt kompromitterede globale administrator ændrede deres adgangskode," bemærker Microsoft. 

"De nævnte aktiviteter gav trusselsaktøren kontrol over en yderst privilegeret applikation."

Med alt dette på plads brugte angriberne OAuth-appen til at oprette forbindelse til Exchange Online PowerShell-modulet og ændre Exchange-indstillinger, så serveren dirigerede spam fra deres egne IP-adresser relateret til angriberens infrastruktur. 

For at gøre dette brugte de en Exchange-serverfunktion kaldet "stik” for at tilpasse den måde, e-mail strømme til og fra organisationer, der bruger Microsoft 365/Office 365. Skuespilleren oprettede en ny indgående forbindelse og konfigurerede et dusin ”transportregler” for Exchange Online, der slettede et sæt overskrifter i den Exchange-rutede spam for at øge succesraten for spamkampagnen. Fjernelse af overskrifterne gør det muligt for e-mailen at undgå registrering af sikkerhedsprodukter. 

"Efter hver spam-kampagne slettede skuespilleren den ondsindede indgående forbindelse og transportregler for at forhindre registrering, mens applikationen forblev installeret i lejeren indtil næste bølge af angrebet (i nogle tilfælde var appen i dvale i flere måneder, før den blev genbrugt af trusselsaktøren), forklarer Microsoft.    

Microsoft beskrev sidste år, hvordan angribere misbrugte OAuth til samtykke-phishing. Andre kendte anvendelser af OAuth-applikationer til ondsindede formål omfatter kommando-og-kontrol-kommunikation (C2), bagdøre, phishing og omdirigering. Selv Nobelium, gruppen, der angreb SolarWinds i et forsyningskædeangreb, har misbrugte OAuth for at muliggøre bredere angreb.