Por qué es importante MFA: estos atacantes descifraron las cuentas de administrador y luego usaron Exchange para enviar spam

Microsoft ha expuesto un caso astuto de abuso de la aplicación OAuth que permitió a los atacantes reconfigurar el servidor Exchange de la víctima para enviar spam.     

El objetivo del elaborado ataque era hacer que el spam masivo, que promocionaba un sorteo falso, pareciera que se originó en el dominio de Exchange comprometido en lugar de los orígenes reales, que eran su propia dirección IP o servicios de marketing por correo electrónico de terceros, según Microsoft. . 

El truco del sorteo se utilizó para engañar a los destinatarios para que proporcionaran los datos de la tarjeta de crédito y se registraran en suscripciones recurrentes. 

“Si bien el esquema posiblemente condujo a cargos no deseados para los objetivos, no hubo evidencia de amenazas de seguridad manifiestas, como el phishing de credenciales o la distribución de malware”, dijo el equipo de investigación de Microsoft 365 Defender.

También: ¿Qué es exactamente la ciberseguridad? ¿Y por qué importa?

Para hacer que el servidor de Exchange envíe su correo no deseado, los atacantes primero comprometieron el arrendatario de nube mal protegido del objetivo y luego obtuvieron acceso a cuentas de usuario privilegiadas para crear aplicaciones OAuth maliciosas y privilegiadas dentro del entorno. OAuth apps Permitir que los usuarios otorguen acceso limitado a otros apps, pero los atacantes aquí lo usaron de manera diferente. 

Ninguna de las cuentas de administrador atacadas tenía activada la autenticación multifactor (MFA), lo que podría haber detenido los ataques.

“También es importante tener en cuenta que todos los administradores comprometidos no tenían MFA habilitado, lo que podría haber detenido el ataque. Estas observaciones amplifican la importancia de proteger las cuentas y monitorear a los usuarios de alto riesgo, especialmente aquellos con altos privilegios”, dijo Microsoft.

Una vez dentro, usaron Azure Active Directory (AAD) para registrar la aplicación, agregaron un permiso para la autenticación solo de la aplicación del módulo Exchange Online PowerShell, otorgaron el consentimiento de administrador para ese permiso y luego otorgaron funciones de administrador global y administrador de Exchange a los recién registrados. aplicación       

“El actor de amenazas agregó sus propias credenciales a la aplicación OAuth, lo que les permitió acceder a la aplicación incluso si el administrador global inicialmente comprometido cambió su contraseña”, señala Microsoft. 

“Las actividades mencionadas le dieron al actor de amenazas el control de una aplicación altamente privilegiada”.

Con todo esto en su lugar, los atacantes utilizaron la aplicación OAuth para conectarse al módulo Exchange Online PowerShell y cambiar la configuración de Exchange, de modo que el servidor enrutara el correo no deseado desde sus propias direcciones IP relacionadas con la infraestructura del atacante. 

Para hacer esto, usaron una función de servidor de Exchange llamada “conectores" para personalizar la forma en que el correo electrónico fluye hacia y desde las organizaciones que usan Microsoft 365/Office 365. El actor creó un nuevo conector de entrada y configuró una docena "reglas de transporte” para Exchange Online que eliminó un conjunto de encabezados en el spam enrutado por Exchange para aumentar la tasa de éxito de la campaña de spam. La eliminación de los encabezados permite que el correo electrónico eluda la detección de los productos de seguridad. 

“Después de cada campaña de spam, el actor eliminó el conector de entrada malicioso y las reglas de transporte para evitar la detección, mientras que la aplicación permaneció implementada en el arrendatario hasta la siguiente ola del ataque (en algunos casos, la aplicación estuvo inactiva durante meses antes de que se reutilizara). por el actor de amenazas)”, explica Microsoft.    

El año pasado, Microsoft detalló cómo los atacantes estaban abusando de OAuth para el phishing de consentimiento. Otros usos conocidos de las aplicaciones OAuth con fines maliciosos incluyen la comunicación de comando y control (C2), las puertas traseras, el phishing y las redirecciones. Incluso Nobelium, el grupo que atacó a SolarWinds en un ataque a la cadena de suministro, ha abusó de OAuth para permitir ataques más amplios.