СІМ неге маңызды: Бұл шабуылдаушылар әкімші тіркелгілерін бұзып, спам жіберу үшін Exchange пайдаланды

Майкрософт шабуылдаушыларға жәбірленушінің Exchange серверін спам жіберу үшін қайта конфигурациялауға мүмкіндік беретін OAuth қолданбасын теріс пайдалану фактісін әшкереледі.     

Майкрософт корпорациясының пікірінше, күрделі шабуылдың мақсаты жаппай спамды – жалған лотереяны алға жылжыту – оның жеке IP мекенжайы немесе үшінші тараптың электрондық пошта маркетингі қызметтері болған нақты бастаулардан емес, бұзылған Exchange доменінен шыққандай етіп көрсету болды. . 

Ұтыс ойыны алушыларды несие картасының мәліметтерін беру және қайталанатын жазылымдарға жазылу үшін алдау үшін пайдаланылды. 

Microsoft 365 Defender зерттеу тобы: «Схема нысандар үшін қажетсіз төлемдерге әкеп соқтырғанымен, тіркелгі деректерін фишинг немесе зиянды бағдарламаны тарату сияқты ашық қауіпсіздік қатерлерінің дәлелі болған жоқ», - деді.

Сондай-ақ,: Киберқауіпсіздік деген не? Және бұл неге маңызды?

Exchange серверіне спам жіберу үшін, шабуылдаушылар алдымен мақсаттың нашар қорғалған бұлттық жалға алушысына қауіп төндірді, содан кейін ортада зиянды және артықшылықты OAuth қолданбаларын жасау үшін артықшылықты пайдаланушы тіркелгілеріне қол жеткізді. OAuth apps пайдаланушыларға басқаларға шектеулі қол жеткізуге мүмкіндік беріңіз apps, бірақ мұнда шабуылдаушылар оны басқаша пайдаланды. 

Мақсатты әкімші тіркелгілерінің ешқайсысында көп факторлы аутентификация (MFA) қосылмаған, бұл шабуылдарды тоқтатуы мүмкін.

«Сондай-ақ, барлық бұзылған әкімшілерде шабуылды тоқтатуы мүмкін MFA қосылмағанын ескеру маңызды. Бұл бақылаулар тәуекелі жоғары пайдаланушылар үшін, әсіресе артықшылықтары жоғары пайдаланушылар үшін тіркелгілерді қорғау және бақылау маңыздылығын арттырады», - деді Microsoft.

Ішке кіргеннен кейін олар қолданбаны тіркеу үшін Azure Active Directory (AAD) пайдаланды, Exchange Online PowerShell модулінің тек қолданбаға арналған аутентификациясына рұқсат қосты, сол рұқсатқа әкімші келісімін берді, содан кейін жаңадан тіркелгенге жаһандық әкімші және Exchange әкімші рөлдерін берді. қолданба.       

«Қауіпті актер OAuth қолданбасына өздерінің тіркелгі деректерін қосты, бұл оларға қолданбаға кіруге мүмкіндік берді, тіпті бастапқыда бұзылған жаһандық әкімші құпия сөзін өзгертсе де», - деп атап өтті Microsoft. 

«Аталған әрекеттер қауіп-қатер субъектісіне жоғары артықшылықты қолданбаны басқаруға мүмкіндік берді».

Осының бәрі орнында болған кезде, шабуылдаушылар Exchange Online PowerShell модуліне қосылу және Exchange параметрлерін өзгерту үшін OAuth қолданбасын пайдаланды, осылайша сервер шабуылдаушының инфрақұрылымына қатысты өз IP мекенжайларынан спам жіберді. 

Ол үшін олар Exchange сервер мүмкіндігін пайдаланды.қосқыштар” Microsoft 365/Office 365 көмегімен ұйымдарға және одан электрондық пошта ағынының жолын теңшеу үшін. Актер жаңа кіріс қосқышын жасап, ондаған “орнатады.тасымалдау ережелері” спам науқанының сәтті жылдамдығын арттыру үшін Exchange бағыттаған спамдағы тақырыптар жинағын жойған Exchange Online үшін. Тақырыптарды жою электрондық поштаның қауіпсіздік өнімдері арқылы анықталуын болдырмауға мүмкіндік береді. 

«Әр спам науқанынан кейін актер анықтаудың алдын алу үшін зиянды кіріс қосқышы мен тасымалдау ережелерін жойды, ал қолданба шабуылдың келесі толқынына дейін жалға алушыда орналастырылған күйінде қалды (кейбір жағдайларда қолданба қайта пайдаланылғанға дейін айлар бойы әрекетсіз күйде болды). Қауіпті актер арқылы», - деп түсіндіреді Microsoft.    

Майкрософт өткен жылы қаскүнемдердің келісімдік фишинг үшін OAuth қолданбасын қалай пайдаланғаны туралы егжей-тегжейлі айтып берді. OAuth қолданбаларының зиянды мақсаттарда басқа белгілі пайдалануларына командалық-басқару (C2) байланысы, бэкдорлар, фишинг және қайта бағыттау жатады. Тіпті Nobelium, SolarWinds-ке жеткізу тізбегі шабуылында шабуыл жасаған топ кеңірек шабуылдарды қосу үшін OAuth қолданбасын пайдаланды.