Warum MFA wichtig ist: Diese Angreifer knackten Administratorkonten und verwendeten dann Exchange zum Versenden von Spam

Microsoft hat einen listigen Fall von OAuth-App-Missbrauch aufgedeckt, der es den Angreifern ermöglichte, den Exchange-Server des Opfers neu zu konfigurieren, um Spam zu senden.     

Der Zweck des ausgeklügelten Angriffs bestand darin, Massen-Spam – die Werbung für ein gefälschtes Gewinnspiel – so aussehen zu lassen, als stamme er von der kompromittierten Exchange-Domäne und nicht von den tatsächlichen Ursprüngen, die laut Microsoft entweder ihre eigene IP-Adresse oder E-Mail-Marketing-Dienste von Drittanbietern waren . 

Der Gewinnspieltrick wurde verwendet, um die Empfänger dazu zu bringen, Kreditkartendaten anzugeben und sich für wiederkehrende Abonnements anzumelden. 

„Während das Schema möglicherweise zu unerwünschten Gebühren für Ziele führte, gab es keine Hinweise auf offene Sicherheitsbedrohungen wie Anmeldedaten-Phishing oder Malware-Verteilung“, sagte das Microsoft 365 Defender-Forschungsteam.

Außerdem: Was genau ist Cybersicherheit? Und warum ist es wichtig?

Um den Exchange-Server dazu zu bringen, ihren Spam zu senden, kompromitierten die Angreifer zunächst den schlecht geschützten Cloud-Mandanten des Ziels und verschafften sich dann Zugriff auf privilegierte Benutzerkonten, um bösartige und privilegierte OAuth-Anwendungen innerhalb der Umgebung zu erstellen. OAuth apps Lassen Sie Benutzer anderen eingeschränkten Zugriff gewähren apps, aber die Angreifer hier haben es anders verwendet. 

Bei keinem der anvisierten Administratorkonten war die Multi-Faktor-Authentifizierung (MFA) eingeschaltet, was die Angriffe hätte stoppen können.

„Es ist auch wichtig zu beachten, dass alle kompromittierten Administratoren MFA nicht aktiviert hatten, was den Angriff hätte stoppen können. Diese Beobachtungen verstärken die Bedeutung der Sicherung von Konten und der Überwachung für Benutzer mit hohem Risiko, insbesondere für Benutzer mit hohen Privilegien“, sagte Microsoft.

Einmal drin, verwendeten sie Azure Active Directory (AAD), um die App zu registrieren, fügten eine Berechtigung für die Nur-App-Authentifizierung des Exchange Online PowerShell-Moduls hinzu, erteilten die Administratoreinwilligung für diese Berechtigung und gaben dann den neu registrierten Benutzern globale Administrator- und Exchange-Administratorrollen App.       

„Der Angreifer fügte der OAuth-Anwendung seine eigenen Anmeldeinformationen hinzu, wodurch er auf die Anwendung zugreifen konnte, selbst wenn der ursprünglich kompromittierte globale Administrator sein Passwort geändert hatte“, stellt Microsoft fest. 

„Die erwähnten Aktivitäten gaben dem Angreifer die Kontrolle über eine hochprivilegierte Anwendung.“

Nachdem all dies vorhanden war, verwendeten die Angreifer die OAuth-App, um eine Verbindung zum Exchange Online PowerShell-Modul herzustellen und die Exchange-Einstellungen zu ändern, sodass der Server Spam von ihren eigenen IP-Adressen im Zusammenhang mit der Infrastruktur des Angreifers weiterleitete. 

Dazu verwendeten sie eine Exchange-Server-Funktion namens „Anschlüsse“ zum Anpassen des E-Mail-Flusses zu und von Organisationen, die Microsoft 365/Office 365 verwenden. Der Akteur erstellte einen neuen eingehenden Connector und richtete ein Dutzend „Transportregeln” für Exchange Online, die eine Reihe von Headern in dem von Exchange weitergeleiteten Spam löschte, um die Erfolgsrate der Spam-Kampagne zu steigern. Durch das Entfernen der Header kann die E-Mail der Erkennung durch Sicherheitsprodukte entgehen. 

„Nach jeder Spam-Kampagne löschte der Akteur den schädlichen eingehenden Connector und die Transportregeln, um eine Erkennung zu verhindern, während die Anwendung bis zur nächsten Angriffswelle im Mandanten bereitgestellt blieb (in einigen Fällen war die App monatelang inaktiv, bevor sie wiederverwendet wurde durch den Bedrohungsakteur)“, erklärt Microsoft.    

Microsoft hat letztes Jahr detailliert beschrieben, wie Angreifer OAuth für Einwilligungs-Phishing missbrauchen. Andere bekannte Verwendungen von OAuth-Anwendungen für böswillige Zwecke umfassen Command-and-Control (C2)-Kommunikation, Backdoors, Phishing und Umleitungen. Sogar Nobelium, die Gruppe, die SolarWinds bei einem Angriff auf die Lieferkette angegriffen hat, hat dies getan OAuth missbraucht, um breitere Angriffe zu ermöglichen.