چرا MFA اهمیت دارد: این مهاجمان حساب‌های مدیریت را کرک کرده و سپس از Exchange برای ارسال هرزنامه استفاده کردند

مایکروسافت یک مورد حیله گر سوء استفاده از برنامه OAuth را افشا کرده است که به مهاجمان اجازه می دهد سرور Exchange قربانی را برای ارسال هرزنامه پیکربندی مجدد کنند.     

به گفته مایکروسافت، هدف این حمله مفصل این بود که هرزنامه‌های انبوه – ترویج یک قرعه‌کشی جعلی – به نظر برسد که از دامنه آسیب‌دیده Exchange سرچشمه می‌گیرد و نه منشأ واقعی، که آدرس IP خودشان یا خدمات بازاریابی ایمیل شخص ثالث بود. . 

ترفند قرعه کشی برای فریب گیرندگان برای ارائه جزئیات کارت اعتباری و ثبت نام برای اشتراک های تکراری استفاده شد. 

تیم تحقیقاتی Microsoft 365 Defender گفت: «در حالی که این طرح احتمالاً منجر به هزینه‌های ناخواسته برای اهداف می‌شود، هیچ شواهدی مبنی بر تهدیدهای امنیتی آشکار مانند فیشینگ اعتبار یا توزیع بدافزار وجود ندارد.»

بنابراین: امنیت سایبری دقیقاً چیست؟ و آن چرا اهمیت دارد؟

برای اینکه سرور Exchange هرزنامه‌های خود را ارسال کند، مهاجمان ابتدا مستاجر ابری هدف را که ضعیف محافظت شده بود، به خطر انداختند و سپس به حساب‌های کاربری ممتاز برای ایجاد برنامه‌های OAuth مخرب و دارای امتیاز در محیط دسترسی پیدا کردند. OAuth apps به کاربران اجازه دسترسی محدود به دیگران را بدهید apps، اما مهاجمان اینجا به شکل دیگری از آن استفاده کردند. 

هیچ یک از حساب‌های سرپرستی که هدف قرار گرفته‌اند، احراز هویت چندعاملی (MFA) روشن نشده بود که می‌توانست حملات را متوقف کند.

همچنین مهم است که توجه داشته باشید که همه ادمین های در معرض خطر MFA را فعال نکرده بودند، که می توانست حمله را متوقف کند. مایکروسافت گفت: این مشاهدات اهمیت امنیت حساب‌ها و نظارت را برای کاربران پرخطر، به‌ویژه آنهایی که امتیازات بالایی دارند، تقویت می‌کند.

هنگامی که وارد شدند، از Azure Active Directory (AAD) برای ثبت برنامه استفاده کردند، مجوزی برای تأیید اعتبار فقط برنامه ماژول Exchange Online PowerShell اضافه کردند، رضایت مدیر را با آن مجوز صادر کردند، و سپس نقش‌های مدیر جهانی و مدیر Exchange را به افرادی که به تازگی ثبت نام کرده بودند، دادند. برنامه       

مایکروسافت خاطرنشان می‌کند: «بازیگر تهدید، اعتبار خود را به برنامه OAuth اضافه کرد، که به آن‌ها امکان می‌داد حتی اگر مدیر جهانی که در ابتدا رمز عبور آنها را تغییر داده بود، به برنامه دسترسی داشته باشند. 

«فعالیت‌های ذکر شده به عامل تهدید یک برنامه بسیار ممتاز را کنترل کرد.»

با همه این موارد، مهاجمان از برنامه OAuth برای اتصال به ماژول Exchange Online PowerShell و تغییر تنظیمات Exchange استفاده کردند، به طوری که سرور هرزنامه ها را از آدرس های IP خود مربوط به زیرساخت مهاجم هدایت می کند. 

برای انجام این کار، آنها از یک ویژگی سرور Exchange به نام “اتصال دهنده ها” برای سفارشی‌سازی نحوه جریان ایمیل به و از سازمان‌ها با استفاده از Microsoft 365/Office 365. این بازیگر یک رابط ورودی جدید ایجاد کرد و ده‌ها را راه‌اندازی کرد.قوانین حمل و نقل” برای Exchange Online که مجموعه‌ای از هدرها را در هرزنامه مسیریابی شده توسط Exchange حذف کرد تا میزان موفقیت کمپین هرزنامه را افزایش دهد. حذف سرصفحه ها به ایمیل اجازه می دهد تا توسط محصولات امنیتی شناسایی نشود. 

«بعد از هر کمپین هرزنامه، بازیگر برای جلوگیری از شناسایی، کانکتور ورودی مخرب و قوانین حمل و نقل را حذف می‌کند، در حالی که برنامه تا موج بعدی حمله در مستاجر باقی می‌ماند (در برخی موارد، برنامه برای ماه‌ها غیرفعال بود قبل از استفاده مجدد. توسط عامل تهدید)» مایکروسافت توضیح می دهد.    

مایکروسافت سال گذشته توضیح داد که چگونه مهاجمان از OAuth برای فیشینگ رضایت سوء استفاده می کنند. سایر کاربردهای شناخته شده برنامه های OAuth برای اهداف مخرب عبارتند از: ارتباطات فرمان و کنترل (C2)، درهای پشتی، فیشینگ و تغییر مسیرها. حتی Nobelium، گروهی که در یک حمله زنجیره تامین به SolarWinds حمله کرد، این کار را انجام داده است از OAuth برای فعال کردن حملات گسترده تر سوء استفاده کرد.