एमएफए क्यों मायने रखता है: इन हमलावरों ने व्यवस्थापक खातों को तोड़ दिया और फिर एक्सचेंज का इस्तेमाल स्पैम भेजने के लिए किया

Microsoft ने OAuth ऐप के दुरुपयोग का एक चालाक मामला उजागर किया है जिसने हमलावरों को पीड़ित के एक्सचेंज सर्वर को स्पैम भेजने के लिए पुन: कॉन्फ़िगर करने की अनुमति दी थी।     

विस्तृत हमले का उद्देश्य बड़े पैमाने पर स्पैम बनाना था - एक नकली स्वीपस्टेक को बढ़ावा देना - ऐसा लगता है कि यह वास्तविक उत्पत्ति के बजाय समझौता किए गए एक्सचेंज डोमेन से उत्पन्न हुआ है, जो या तो उनका अपना आईपी पता या तीसरे पक्ष की ईमेल मार्केटिंग सेवाएं थीं, माइक्रोसॉफ्ट के अनुसार . 

स्वीपस्टेक का उपयोग प्राप्तकर्ताओं को क्रेडिट कार्ड विवरण प्रदान करने और आवर्ती सदस्यता के लिए साइन अप करने के लिए किया गया था। 

Microsoft 365 डिफेंडर रिसर्च टीम ने कहा, "हालांकि इस योजना के कारण संभावित रूप से लक्ष्यों के लिए अवांछित शुल्क लगाया गया, लेकिन क्रेडेंशियल फ़िशिंग या मैलवेयर वितरण जैसे सुरक्षा खतरों का कोई सबूत नहीं था।"

इसके अलावा: साइबर सुरक्षा वास्तव में क्या है? और क्यों इससे फर्क पड़ता है?

एक्सचेंज सर्वर को अपना स्पैम भेजने के लिए, हमलावरों ने पहले लक्ष्य के खराब संरक्षित क्लाउड टेनेंट से समझौता किया और फिर पर्यावरण के भीतर दुर्भावनापूर्ण और विशेषाधिकार प्राप्त OAuth एप्लिकेशन बनाने के लिए विशेषाधिकार प्राप्त उपयोगकर्ता खातों तक पहुंच प्राप्त की। OAuth apps उपयोगकर्ताओं को दूसरों तक सीमित पहुंच प्रदान करने दें apps, लेकिन यहां के हमलावरों ने इसका अलग तरह से इस्तेमाल किया। 

लक्षित किए गए किसी भी व्यवस्थापक खाते में बहु-कारक प्रमाणीकरण (एमएफए) चालू नहीं था, जो हमलों को रोक सकता था।

"यह भी ध्यान रखना महत्वपूर्ण है कि सभी समझौता किए गए व्यवस्थापकों के पास एमएफए सक्षम नहीं था, जो हमले को रोक सकता था। ये अवलोकन उच्च जोखिम वाले उपयोगकर्ताओं, विशेष रूप से उच्च विशेषाधिकार वाले लोगों के लिए खातों को सुरक्षित करने और निगरानी के महत्व को बढ़ाते हैं, "माइक्रोसॉफ्ट ने कहा।

एक बार अंदर जाने के बाद, उन्होंने ऐप को पंजीकृत करने के लिए एज़्योर एक्टिव डायरेक्ट्री (एएडी) का उपयोग किया, एक्सचेंज ऑनलाइन पावरशेल मॉड्यूल के ऐप-ओनली प्रमाणीकरण के लिए एक अनुमति जोड़ी, उस अनुमति के लिए व्यवस्थापक की सहमति दी, और फिर नए पंजीकृत को वैश्विक व्यवस्थापक और एक्सचेंज व्यवस्थापक भूमिकाएं दीं। अनुप्रयोग।       

"खतरे वाले अभिनेता ने OAuth एप्लिकेशन में अपने स्वयं के क्रेडेंशियल जोड़े, जिससे उन्हें एप्लिकेशन तक पहुंचने में सक्षम बनाया गया, भले ही शुरू में समझौता किए गए वैश्विक व्यवस्थापक ने अपना पासवर्ड बदल दिया हो," Microsoft नोट करता है। 

"उल्लिखित गतिविधियों ने खतरे वाले अभिनेता को अत्यधिक विशेषाधिकार प्राप्त एप्लिकेशन का नियंत्रण दिया।"

इस सब के साथ, हमलावरों ने एक्सचेंज ऑनलाइन पावरशेल मॉड्यूल से कनेक्ट करने और एक्सचेंज सेटिंग्स को बदलने के लिए ओएथ ऐप का इस्तेमाल किया, ताकि सर्वर हमलावर के बुनियादी ढांचे से संबंधित अपने आईपी पते से स्पैम को रूट कर सके। 

ऐसा करने के लिए उन्होंने "एक्सचेंज सर्वर" नामक एक सुविधा का उपयोग किया।connectorsMicrosoft 365/Office 365 का उपयोग करके संगठनों से ईमेल के प्रवाह के तरीके को अनुकूलित करने के लिए। अभिनेता ने एक नया इनबाउंड कनेक्टर बनाया और एक दर्जन सेटअप किया।परिवहन नियमएक्सचेंज ऑनलाइन के लिए जिसने स्पैम अभियान की सफलता दर को बढ़ावा देने के लिए एक्सचेंज द्वारा रूट किए गए स्पैम में हेडर के एक सेट को हटा दिया। हेडर को हटाने से ईमेल सुरक्षा उत्पादों द्वारा पता लगाने से बच जाता है। 

"प्रत्येक स्पैम अभियान के बाद, अभिनेता ने पता लगाने से रोकने के लिए दुर्भावनापूर्ण इनबाउंड कनेक्टर और परिवहन नियमों को हटा दिया, जबकि हमले की अगली लहर तक आवेदन किरायेदार में तैनात रहा (कुछ मामलों में, ऐप पुन: उपयोग करने से पहले महीनों के लिए निष्क्रिय था) धमकी अभिनेता द्वारा), "माइक्रोसॉफ्ट बताते हैं।    

Microsoft ने पिछले साल विस्तार से बताया कि कैसे हमलावर सहमति फ़िशिंग के लिए OAuth का दुरुपयोग कर रहे थे। दुर्भावनापूर्ण उद्देश्यों के लिए OAuth अनुप्रयोगों के अन्य ज्ञात उपयोगों में कमांड-एंड-कंट्रोल (C2) संचार, पिछले दरवाजे, फ़िशिंग और पुनर्निर्देशन शामिल हैं। यहां तक ​​कि नोबेलियम, जिस समूह ने एक आपूर्ति श्रृंखला हमले में सोलरविंड्स पर हमला किया, उसके पास है व्यापक हमलों को सक्षम करने के लिए OAuth का दुरुपयोग किया.