Pourquoi MFA est important : ces attaquants ont piraté des comptes d'administrateur, puis ont utilisé Exchange pour envoyer du spam

Microsoft a révélé un cas astucieux d'abus de l'application OAuth qui a permis aux attaquants de reconfigurer le serveur Exchange de la victime pour envoyer du spam.     

Le but de cette attaque élaborée était de donner l'impression que le spam massif – faisant la promotion d'un faux tirage au sort – provenait du domaine Exchange compromis plutôt que de ses origines réelles, qui étaient soit leur propre adresse IP, soit des services de marketing par courrier électronique tiers, selon Microsoft. . 

La ruse du tirage au sort a été utilisée pour inciter les destinataires à fournir les détails de leur carte de crédit et à souscrire à des abonnements récurrents. 

"Bien que le stratagème ait pu conduire à des frais indésirables pour les cibles, il n'y avait aucune preuve de menaces de sécurité manifestes telles que le phishing d'identifiants ou la distribution de logiciels malveillants", a déclaré l'équipe de recherche Microsoft 365 Defender.

Aussi: Qu'est-ce que la cybersécurité exactement ? Et pourquoi est-ce important ?

Pour obliger le serveur Exchange à envoyer du spam, les attaquants ont d'abord compromis le locataire cloud mal protégé de la cible, puis ont obtenu l'accès aux comptes d'utilisateurs privilégiés pour créer des applications OAuth malveillantes et privilégiées au sein de l'environnement. OAuth apps permettre aux utilisateurs d'accorder un accès limité à d'autres apps, mais les attaquants ici l'ont utilisé différemment. 

Aucun des comptes d'administrateur ciblés ne disposait d'une authentification multifacteur (MFA), ce qui aurait pu stopper les attaques.

« Il est également important de noter que tous les administrateurs compromis n'avaient pas activé MFA, ce qui aurait pu arrêter l'attaque. Ces observations amplifient l’importance de sécuriser les comptes et de surveiller les utilisateurs à haut risque, en particulier ceux disposant de privilèges élevés », a déclaré Microsoft.

Une fois à l'intérieur, ils ont utilisé Azure Active Directory (AAD) pour enregistrer l'application, ont ajouté une autorisation pour l'authentification des applications uniquement du module Exchange Online PowerShell, ont accordé le consentement de l'administrateur à cette autorisation, puis ont attribué des rôles d'administrateur global et d'administrateur Exchange au nouveau enregistré. application.       

"L'acteur malveillant a ajouté ses propres informations d'identification à l'application OAuth, ce qui lui a permis d'accéder à l'application même si l'administrateur global initialement compromis modifiait son mot de passe", note Microsoft. 

« Les activités mentionnées ont donné aux acteurs malveillants le contrôle d’une application hautement privilégiée. »

Avec tout cela en place, les attaquants ont utilisé l'application OAuth pour se connecter au module Exchange Online PowerShell et modifier les paramètres d'Exchange, de sorte que le serveur achemine le spam à partir de leurs propres adresses IP liées à l'infrastructure de l'attaquant. 

Pour ce faire, ils ont utilisé une fonctionnalité du serveur Exchange appelée «connecteurs" pour personnaliser la façon dont les e-mails circulent vers et depuis les organisations utilisant Microsoft 365/Office 365. L'acteur a créé un nouveau connecteur entrant et en a configuré une douzaine "règles de transport» pour Exchange Online qui a supprimé un ensemble d'en-têtes dans le spam acheminé par Exchange afin d'augmenter le taux de réussite de la campagne de spam. La suppression des en-têtes permet à l'e-mail d'échapper à la détection par les produits de sécurité. 

« Après chaque campagne de spam, l'acteur supprimait le connecteur entrant malveillant et les règles de transport pour empêcher toute détection, tandis que l'application restait déployée chez le locataire jusqu'à la prochaine vague d'attaque (dans certains cas, l'application était inactive pendant des mois avant d'être réutilisée). par l’acteur menaçant) », explique Microsoft.    

L'année dernière, Microsoft a détaillé comment les attaquants abusaient d'OAuth à des fins de phishing par consentement. D'autres utilisations connues des applications OAuth à des fins malveillantes incluent la communication de commande et de contrôle (C2), les portes dérobées, le phishing et les redirections. Même Nobelium, le groupe qui a attaqué SolarWinds lors d’une attaque contre la chaîne d’approvisionnement, a abusé d'OAuth pour permettre des attaques plus larges.