Miksi MFA:lla on merkitystä: Nämä hyökkääjät mursivat järjestelmänvalvojan tilit ja käyttivät Exchangea roskapostin lähettämiseen

Microsoft on paljastanut ovela tapauksen OAuth-sovelluksen väärinkäytöstä, jonka ansiosta hyökkääjät saattoivat määrittää uhrin Exchange-palvelimen uudelleen lähettämään roskapostia.     

Monimutkaisen hyökkäyksen tarkoituksena oli saada massaroskaposti – joka mainosti väärennettyä arvontaa – näyttämään siltä, ​​että se olisi peräisin vaarantuneesta Exchange-verkkotunnuksesta eikä todellisesta alkuperästä, joka oli Microsoftin mukaan joko heidän oma IP-osoite tai kolmannen osapuolen sähköpostimarkkinointipalvelu. . 

Arpajaisjuttu käytettiin huijaamaan vastaanottajia antamaan luottokorttitiedot ja rekisteröitymään toistuviin tilauksiin. 

"Vaikka järjestelmä mahdollisesti johti kohteiden ei-toivottuihin maksuihin, ei ollut todisteita avoimista tietoturvauhkista, kuten tunnistetietojen kalastelu tai haittaohjelmien levittäminen", Microsoft 365 Defender Research Team sanoi.

Myös: Mitä kyberturvallisuus tarkalleen ottaen on? Ja miksi sillä on väliä?

Saadakseen Exchange-palvelimen lähettämään roskapostinsa hyökkääjät ensin murtautuivat kohteen huonosti suojatun pilvivuokralaisen ja saivat sitten pääsyn etuoikeutettuihin käyttäjätileihin luodakseen haitallisia ja etuoikeutettuja OAuth-sovelluksia ympäristöön. OAuth apps anna käyttäjien myöntää rajoitettu käyttöoikeus muille apps, mutta hyökkääjät käyttivät sitä eri tavalla. 

Yhdessäkään kohteena olevista järjestelmänvalvojatileistä ei ollut käytössä monivaiheista todennusta (MFA), mikä olisi voinut pysäyttää hyökkäykset.

"On myös tärkeää huomata, että kaikilla vaarantuneilla ylläpitäjillä ei ollut MFA:ta käytössä, mikä olisi voinut pysäyttää hyökkäyksen. Nämä havainnot vahvistavat tilien turvaamisen ja valvonnan tärkeyttä riskialttiille käyttäjille, erityisesti niille, joilla on korkeat oikeudet", Microsoft sanoi.

Sisään päästyään he rekisteröivät sovelluksen Azure Active Directorylla (AAD), lisäsivät luvan Exchange Online PowerShell -moduulin vain sovellusten todentamiseen, myönsivät järjestelmänvalvojan suostumuksen tälle luvalla ja antoivat sitten maailmanlaajuiset järjestelmänvalvojan ja Exchangen järjestelmänvalvojan roolit äskettäin rekisteröityneille. sovellus.       

"Uhkatoimija lisäsi omat tunnistetietonsa OAuth-sovellukseen, mikä antoi heille mahdollisuuden käyttää sovellusta, vaikka alun perin vaarantunut globaali järjestelmänvalvoja vaihtaisi salasanansa", Microsoft huomauttaa. 

"Mainitut toiminnot antoivat uhkatoimijalle erittäin etuoikeutetun sovelluksen hallinnan."

Kaiken tämän jälkeen hyökkääjät käyttivät OAuth-sovellusta yhteyden muodostamiseen Exchange Online PowerShell -moduuliin ja Exchange-asetusten muuttamiseen siten, että palvelin reititti roskapostin omista IP-osoitteistaan, jotka liittyvät hyökkääjän infrastruktuuriin. 

Tätä varten he käyttivät Exchange-palvelinominaisuutta nimeltä "Liittimet" muokata tapaa, jolla sähköposti kulkee Microsoft 365/Office 365:tä käyttäviin organisaatioihin ja niistä pois. Näyttelijä loi uuden saapuvan liittimen ja määritti tusinaa "kuljetussäännöt” Exchange Onlinelle, joka poisti joukon otsikoita Exchangen ohjaamasta roskapostista roskapostikampanjan onnistumisprosentin parantamiseksi. Otsikoiden poistaminen sallii sähköpostin välttää tietoturvatuotteiden havaitsemisen. 

"Jokaisen roskapostikampanjan jälkeen näyttelijä poisti haitallisen saapuvan liittimen ja siirtosäännöt havaitsemisen estämiseksi, kun taas sovellus pysyi käytössä vuokraajassa hyökkäyksen seuraavaan aaltoon asti (joissakin tapauksissa sovellus oli lepotilassa kuukausia ennen kuin sitä käytettiin uudelleen uhkatekijän toimesta), Microsoft selittää.    

Microsoft kertoi viime vuonna, kuinka hyökkääjät käyttivät väärin OAuthia suostumuksensa tietojenkalasteluksi. Muita tunnettuja OAuth-sovellusten käyttötapoja haitallisiin tarkoituksiin ovat komento ja ohjaus (C2) -viestintä, takaovet, tietojenkalastelu ja uudelleenohjaukset. Jopa Nobelium, ryhmä, joka hyökkäsi SolarWindsiin toimitusketjuhyökkäyksessä, on tehnyt väärinkäyttö OAuthia mahdollistaakseen laajemmat hyökkäykset.