Perché l'MFA è importante: questi aggressori hanno violato gli account amministratore e poi hanno utilizzato Exchange per inviare spam

Microsoft ha denunciato un caso astuto di abuso dell'app OAuth che ha consentito agli aggressori di riconfigurare il server Exchange della vittima per inviare spam.     

Lo scopo dell'attacco elaborato era quello di far sembrare che lo spam di massa, che promuoveva un falso concorso a premi, provenisse dal dominio Exchange compromesso piuttosto che dalle origini effettive, che erano il proprio indirizzo IP o servizi di email marketing di terze parti, secondo Microsoft. . 

Lo stratagemma della lotteria è stato utilizzato per indurre i destinatari a fornire i dettagli della carta di credito e a iscriversi ad abbonamenti ricorrenti. 

"Sebbene lo schema abbia probabilmente portato ad addebiti indesiderati per gli obiettivi, non c'erano prove di minacce alla sicurezza palesi come il phishing delle credenziali o la distribuzione di malware", ha affermato il team di ricerca di Microsoft 365 Defender.

Inoltre: Che cos'è esattamente la sicurezza informatica? E perché importa?

Per fare in modo che il server Exchange inviasse lo spam, gli aggressori hanno prima compromesso il tenant cloud scarsamente protetto del bersaglio e poi hanno ottenuto l'accesso agli account utente privilegiati per creare applicazioni OAuth dannose e privilegiate all'interno dell'ambiente. OAut apps consentire agli utenti di concedere un accesso limitato ad altri apps, ma qui gli aggressori lo hanno usato diversamente. 

Nessuno degli account amministratore presi di mira aveva attivato l'autenticazione a più fattori (MFA), che avrebbe potuto fermare gli attacchi.

“È anche importante notare che tutti gli amministratori compromessi non avevano l'MFA abilitato, il che avrebbe potuto fermare l'attacco. Queste osservazioni amplificano l’importanza di proteggere gli account e monitorare gli utenti ad alto rischio, in particolare quelli con privilegi elevati”, ha affermato Microsoft.

Una volta all'interno, hanno utilizzato Azure Active Directory (AAD) per registrare l'app, hanno aggiunto un'autorizzazione per l'autenticazione della sola app del modulo PowerShell di Exchange Online, hanno concesso il consenso dell'amministratore a tale autorizzazione e quindi hanno assegnato i ruoli di amministratore globale e amministratore di Exchange ai nuovi registrati. app.       

"L'autore della minaccia ha aggiunto le proprie credenziali all'applicazione OAuth, consentendogli di accedere all'applicazione anche se l'amministratore globale inizialmente compromesso ha cambiato la password", osserva Microsoft. 

"Le attività menzionate hanno dato all'autore della minaccia il controllo di un'applicazione altamente privilegiata."

Con tutto ciò in atto, gli aggressori hanno utilizzato l'app OAuth per connettersi al modulo PowerShell di Exchange Online e modificare le impostazioni di Exchange, in modo che il server instradasse lo spam dai propri indirizzi IP relativi all'infrastruttura dell'aggressore. 

Per fare ciò hanno utilizzato una funzionalità del server Exchange chiamata "connettori" per personalizzare il modo in cui la posta elettronica scorre da e verso le organizzazioni che utilizzano Microsoft 365/Office 365. L'attore ha creato un nuovo connettore in entrata e ne ha configurato una dozzina "regole di trasporto" per Exchange Online che ha eliminato una serie di intestazioni nello spam instradato da Exchange per aumentare la percentuale di successo della campagna di spam. La rimozione delle intestazioni consente all'e-mail di eludere il rilevamento da parte dei prodotti di sicurezza. 

"Dopo ogni campagna di spam, l'autore ha eliminato il connettore in entrata dannoso e le regole di trasporto per impedirne il rilevamento, mentre l'applicazione è rimasta distribuita nel tenant fino alla successiva ondata di attacco (in alcuni casi, l'app è rimasta dormiente per mesi prima di essere riutilizzata dall’autore della minaccia)”, spiega Microsoft.    

L'anno scorso Microsoft ha spiegato in dettaglio in che modo gli aggressori hanno abusato di OAuth per il phishing del consenso. Altri usi noti delle applicazioni OAuth per scopi dannosi includono comunicazioni di comando e controllo (C2), backdoor, phishing e reindirizzamenti. Anche Nobelium, il gruppo che ha attaccato SolarWinds in un attacco alla catena di fornitura, lo ha fatto hanno abusato di OAuth per consentire attacchi più ampi.