Γιατί έχει σημασία το MFA: Αυτοί οι εισβολείς έσπασαν λογαριασμούς διαχειριστή και στη συνέχεια χρησιμοποίησαν το Exchange για να στείλουν ανεπιθύμητα μηνύματα

Η Microsoft έχει αποκαλύψει μια πανούργη περίπτωση κατάχρησης εφαρμογών OAuth που επέτρεψε στους εισβολείς να ρυθμίσουν εκ νέου τον διακομιστή Exchange του θύματος για αποστολή ανεπιθύμητων μηνυμάτων.     

Ο σκοπός της περίπλοκης επίθεσης ήταν να κάνει το μαζικό ανεπιθύμητο περιεχόμενο – προωθώντας μια ψεύτικη λαχεία – να μοιάζει σαν να προέρχεται από τον παραβιασμένο τομέα Exchange και όχι από την πραγματική προέλευση, που ήταν είτε η δική τους διεύθυνση IP είτε υπηρεσίες μάρκετινγκ ηλεκτρονικού ταχυδρομείου τρίτων, σύμφωνα με τη Microsoft. . 

Το τέχνασμα της κλήρωσης χρησιμοποιήθηκε για να εξαπατήσει τους παραλήπτες ώστε να παρέχουν στοιχεία πιστωτικής κάρτας και να εγγραφούν σε επαναλαμβανόμενες συνδρομές. 

«Ενώ το σχέδιο οδήγησε πιθανώς σε ανεπιθύμητες χρεώσεις για στόχους, δεν υπήρχαν στοιχεία για απροκάλυπτες απειλές ασφαλείας, όπως phishing διαπιστευτηρίων ή διανομή κακόβουλου λογισμικού», δήλωσε η Ερευνητική Ομάδα του Microsoft 365 Defender.

Επίσης: Τι ακριβώς είναι η κυβερνοασφάλεια; Και γιατί έχει σημασία;

Για να κάνουν τον διακομιστή Exchange να στείλει το spam τους, οι εισβολείς πρώτα παραβίασαν τον ανεπαρκώς προστατευμένο μισθωτή cloud του στόχου και στη συνέχεια απέκτησαν πρόσβαση σε προνομιούχους λογαριασμούς χρηστών για να δημιουργήσουν κακόβουλες και προνομιακές εφαρμογές OAuth στο περιβάλλον. OAuth apps επιτρέπουν στους χρήστες να παραχωρούν περιορισμένη πρόσβαση σε άλλους apps, αλλά οι επιτιθέμενοι εδώ το χρησιμοποίησαν διαφορετικά. 

Σε κανέναν από τους λογαριασμούς διαχειριστή που στοχεύτηκαν δεν ήταν ενεργοποιημένος ο έλεγχος ταυτότητας πολλαπλών παραγόντων (MFA), ο οποίος θα μπορούσε να είχε σταματήσει τις επιθέσεις.

«Είναι επίσης σημαντικό να σημειωθεί ότι όλοι οι παραβιασμένοι διαχειριστές δεν είχαν ενεργοποιημένο το MFA, κάτι που θα μπορούσε να είχε σταματήσει την επίθεση. Αυτές οι παρατηρήσεις ενισχύουν τη σημασία της ασφάλειας των λογαριασμών και της παρακολούθησης για χρήστες υψηλού κινδύνου, ειδικά εκείνους με υψηλά προνόμια», δήλωσε η Microsoft.

Μόλις μπήκαν μέσα, χρησιμοποίησαν το Azure Active Directory (AAD) για να καταχωρήσουν την εφαρμογή, πρόσθεσαν άδεια για έλεγχο ταυτότητας μόνο για εφαρμογή της μονάδας Exchange Online PowerShell, παραχώρησαν τη συναίνεση του διαχειριστή για αυτήν την άδεια και, στη συνέχεια, έδωσαν ρόλους παγκόσμιου διαχειριστή και διαχειριστή Exchange στους νεοεγγραφείς εφαρμογή.       

«Ο παράγοντας της απειλής πρόσθεσε τα δικά του διαπιστευτήρια στην εφαρμογή OAuth, η οποία τους επέτρεψε να έχουν πρόσβαση στην εφαρμογή ακόμα κι αν ο αρχικά παραβιασμένος παγκόσμιος διαχειριστής άλλαξε τον κωδικό πρόσβασής του», σημειώνει η Microsoft. 

«Οι δραστηριότητες που αναφέρθηκαν έδωσαν στον παράγοντα απειλής τον έλεγχο μιας εξαιρετικά προνομιακής εφαρμογής».

Με όλα αυτά, οι εισβολείς χρησιμοποίησαν την εφαρμογή OAuth για να συνδεθούν με τη μονάδα Exchange Online PowerShell και να αλλάξουν τις ρυθμίσεις του Exchange, έτσι ώστε ο διακομιστής να δρομολογεί ανεπιθύμητα μηνύματα από τις δικές τους διευθύνσεις IP που σχετίζονται με την υποδομή του εισβολέα. 

Για να το κάνουν αυτό χρησιμοποίησαν μια δυνατότητα διακομιστή Exchange που ονομάζεται "υποδοχές" για την προσαρμογή του τρόπου ροής μηνυμάτων ηλεκτρονικού ταχυδρομείου προς και από οργανισμούς που χρησιμοποιούν Microsoft 365/Office 365. Ο ηθοποιός δημιούργησε μια νέα εισερχόμενη σύνδεση και δημιούργησε μια ντουζίνα "κανόνες μεταφοράς” για το Exchange Online που διέγραψε ένα σύνολο κεφαλίδων στα ανεπιθύμητα δρομολογημένα από το Exchange για να αυξήσει το ποσοστό επιτυχίας της καμπάνιας ανεπιθύμητης αλληλογραφίας. Η κατάργηση των κεφαλίδων επιτρέπει στο email να αποφύγει τον εντοπισμό από προϊόντα ασφαλείας. 

«Μετά από κάθε καμπάνια ανεπιθύμητης αλληλογραφίας, ο ηθοποιός διέγραφε την κακόβουλη εισερχόμενη σύνδεση και τους κανόνες μεταφοράς για να αποτρέψει τον εντοπισμό, ενώ η εφαρμογή παρέμενε αναπτυγμένη στον ενοικιαστή μέχρι το επόμενο κύμα της επίθεσης (σε ορισμένες περιπτώσεις, η εφαρμογή ήταν αδρανής για μήνες προτού επαναχρησιμοποιηθεί από τον παράγοντα απειλών)», εξηγεί η Microsoft.    

Η Microsoft πέρυσι εξήγησε πώς οι εισβολείς έκαναν κατάχρηση του OAuth για συναίνεση ηλεκτρονικού ψαρέματος (phishing). Άλλες γνωστές χρήσεις των εφαρμογών OAuth για κακόβουλους σκοπούς περιλαμβάνουν επικοινωνία εντολών και ελέγχου (C2), backdoors, phishing και ανακατευθύνσεις. Ακόμη και η Nobelium, η ομάδα που επιτέθηκε στη SolarWinds σε μια επίθεση στην αλυσίδα εφοδιασμού, έχει έκανε κατάχρηση του OAuth για να ενεργοποιήσει ευρύτερες επιθέσεις.