مایکروسافت یک مورد حیله گر سوء استفاده از برنامه OAuth را افشا کرده است که به مهاجمان اجازه می دهد سرور Exchange قربانی را برای ارسال هرزنامه پیکربندی مجدد کنند.
به گفته مایکروسافت، هدف این حمله مفصل این بود که هرزنامههای انبوه – ترویج یک قرعهکشی جعلی – به نظر برسد که از دامنه آسیبدیده Exchange سرچشمه میگیرد و نه منشأ واقعی، که آدرس IP خودشان یا خدمات بازاریابی ایمیل شخص ثالث بود. .
ترفند قرعه کشی برای فریب گیرندگان برای ارائه جزئیات کارت اعتباری و ثبت نام برای اشتراک های تکراری استفاده شد.
تیم تحقیقاتی Microsoft 365 Defender گفت: «در حالی که این طرح احتمالاً منجر به هزینههای ناخواسته برای اهداف میشود، هیچ شواهدی مبنی بر تهدیدهای امنیتی آشکار مانند فیشینگ اعتبار یا توزیع بدافزار وجود ندارد.»
بنابراین: امنیت سایبری دقیقاً چیست؟ و آن چرا اهمیت دارد؟
برای اینکه سرور Exchange هرزنامههای خود را ارسال کند، مهاجمان ابتدا مستاجر ابری هدف را که ضعیف محافظت شده بود، به خطر انداختند و سپس به حسابهای کاربری ممتاز برای ایجاد برنامههای OAuth مخرب و دارای امتیاز در محیط دسترسی پیدا کردند. OAuth apps به کاربران اجازه دسترسی محدود به دیگران را بدهید apps، اما مهاجمان اینجا به شکل دیگری از آن استفاده کردند.
هیچ یک از حسابهای سرپرستی که هدف قرار گرفتهاند، احراز هویت چندعاملی (MFA) روشن نشده بود که میتوانست حملات را متوقف کند.
همچنین مهم است که توجه داشته باشید که همه ادمین های در معرض خطر MFA را فعال نکرده بودند، که می توانست حمله را متوقف کند. مایکروسافت گفت: این مشاهدات اهمیت امنیت حسابها و نظارت را برای کاربران پرخطر، بهویژه آنهایی که امتیازات بالایی دارند، تقویت میکند.
هنگامی که وارد شدند، از Azure Active Directory (AAD) برای ثبت برنامه استفاده کردند، مجوزی برای تأیید اعتبار فقط برنامه ماژول Exchange Online PowerShell اضافه کردند، رضایت مدیر را با آن مجوز صادر کردند، و سپس نقشهای مدیر جهانی و مدیر Exchange را به افرادی که به تازگی ثبت نام کرده بودند، دادند. برنامه
مایکروسافت خاطرنشان میکند: «بازیگر تهدید، اعتبار خود را به برنامه OAuth اضافه کرد، که به آنها امکان میداد حتی اگر مدیر جهانی که در ابتدا رمز عبور آنها را تغییر داده بود، به برنامه دسترسی داشته باشند.
«فعالیتهای ذکر شده به عامل تهدید یک برنامه بسیار ممتاز را کنترل کرد.»
با همه این موارد، مهاجمان از برنامه OAuth برای اتصال به ماژول Exchange Online PowerShell و تغییر تنظیمات Exchange استفاده کردند، به طوری که سرور هرزنامه ها را از آدرس های IP خود مربوط به زیرساخت مهاجم هدایت می کند.
برای انجام این کار، آنها از یک ویژگی سرور Exchange به نام “اتصال دهنده ها” برای سفارشیسازی نحوه جریان ایمیل به و از سازمانها با استفاده از Microsoft 365/Office 365. این بازیگر یک رابط ورودی جدید ایجاد کرد و دهها را راهاندازی کرد.قوانین حمل و نقل” برای Exchange Online که مجموعهای از هدرها را در هرزنامه مسیریابی شده توسط Exchange حذف کرد تا میزان موفقیت کمپین هرزنامه را افزایش دهد. حذف سرصفحه ها به ایمیل اجازه می دهد تا توسط محصولات امنیتی شناسایی نشود.
«بعد از هر کمپین هرزنامه، بازیگر برای جلوگیری از شناسایی، کانکتور ورودی مخرب و قوانین حمل و نقل را حذف میکند، در حالی که برنامه تا موج بعدی حمله در مستاجر باقی میماند (در برخی موارد، برنامه برای ماهها غیرفعال بود قبل از استفاده مجدد. توسط عامل تهدید)» مایکروسافت توضیح می دهد.
مایکروسافت سال گذشته توضیح داد که چگونه مهاجمان از OAuth برای فیشینگ رضایت سوء استفاده می کنند. سایر کاربردهای شناخته شده برنامه های OAuth برای اهداف مخرب عبارتند از: ارتباطات فرمان و کنترل (C2)، درهای پشتی، فیشینگ و تغییر مسیرها. حتی Nobelium، گروهی که در یک حمله زنجیره تامین به SolarWinds حمله کرد، این کار را انجام داده است از OAuth برای فعال کردن حملات گسترده تر سوء استفاده کرد.