Çima MFA girîng e: Van êrîşkaran hesabên rêveberê şikandin û piştre Exchange bikar anîn da ku spam bişînin

Microsoft dozek xapînok a destdirêjiya serîlêdana OAuth eşkere kir ku destûr da êrîşkaran ku servera Exchange ya qurbanî ji nû ve mîheng bikin da ku spam bişînin.     

Mebesta êrîşa berfireh ew bû ku spamek girseyî - pêşvebirina sweepstake sexte - dixuye ku ew ji domaina Exchange ya lihevhatî derketiye ne ji eslê rastîn, ku navnîşana IP-ya wan an karûbarên kirrûbirra e-nameyê ya sêyemîn bûn, li gorî Microsoft. . 

Xetereya sweepstake hate bikar anîn da ku wergiran bixapînin da ku hûrguliyên qerta krediyê peyda bikin û ji bo aboneyên dubare qeyd bikin. 

"Tîma Lêkolînê ya Microsoft 365 Defender got, "Her çend ku pilan dibe sedema berdêlên nedilxwaz ji bo armancan, delîlên xetereyên ewlehiyê yên eşkere yên wekî phishing an belavkirina malware tune."

Jî: Bi rastî, ewlehiya sîber çi ye? Û çima ew girîng e?

Ji bo ku server Exchange spam-a xwe bişîne, êrîşkaran pêşî li kirêdarê cloudê yê nebaş parastî tawîz dan û dûv re gihîştin hesabên bikarhêner ên îmtiyaz da ku di hundurê hawîrdorê de serîlêdanên OAuth ên xerab û îmtiyaz biafirînin. OAuth apps bila bikarhêner gihandina tixûbdar ji yên din re bidin apps, lê êrîşkeran li vir bi awayekî cuda bikar anîn. 

Yek ji hesabên rêveberê yên ku hatine armanc kirin nasnameya pir-faktorî (MFA) nehatibû veguheztin, ku dikaribû êrîşan rawestîne.

"Di heman demê de girîng e ku were zanîn ku hemî rêveberên lihevhatî MFA çalak nekirin, ku dikaribû êrîşê rawestîne. Van çavdêriyan girîngiya ewlekirina hesaban û çavdêriya ji bo bikarhênerên xeternak, nemaze yên xwedan îmtiyazên bilind zêde dikin, "Microsoft got.

Gava ku ketin hundur, wan Azure Active Directory (AAD) bikar anîn da ku sepanê tomar bikin, destûrek ji bo rastkirina tenê-sepanê ya modula Exchange Online PowerShell lê zêde kirin, razîbûna rêveberê ji wê destûrê re dan, û dûv re rolên rêveberê gerdûnî û rêveberê Exchange dan yên nû tomarkirî. app.       

"Aktorê tehdîdê pêbaweriyên xwe li ser sepana OAuth zêde kir, ku ew dihêlin ku bigihîjin serîlêdanê her çend rêveberê gerdûnî yê destpêkê şîfreya xwe biguherîne," Microsoft destnîşan dike. 

"Çalakiyên ku hatine behs kirin da ku aktorê tehdîdê serîlêdanek pir îmtiyaz kontrol bike."

Li gel van hemûyan, êrîşkaran sepana OAuth bikar anîn da ku bi modula Exchange Online PowerShell ve girêbide û mîhengên Exchange biguhezîne, da ku server spam ji navnîşanên IP-ya xwe yên ku bi binesaziya êrîşkar ve girêdayî ne rêve bike. 

Ji bo vê yekê wan taybetmendiyek servera Exchange ya bi navê "connectors"ji bo xweşkirina awayê ku e-name diherike û ji rêxistinan re bi kar tînin Microsoft 365/Office 365. Lîstikvan girêdanek nû ya hundurîn çêkir û bi dehan saz kir"qaîdeyên transport” ji bo Exchange Online ku komek sernavên di spam-ya ku ji Exchange-rêvekirî de hatî jêbirin da ku rêjeya serkeftina kampanyaya spam zêde bike. Rakirina sernavan dihêle ku e-name ji hêla hilberên ewlehiyê ve ji tespîtê dûr bixe. 

"Piştî her kampanyaya spam, lîstikvan ji bo pêşîgirtina li tespîtê girêdana hundurîn a xerab û qaîdeyên veguheztinê jêbirin, dema ku serîlêdan heya pêla din a êrîşê di kirêdar de hate bicîh kirin (di hin rewşan de, sepan bi mehan xew bû berî ku ji nû ve were bikar anîn. ji hêla lîstikvanê tehdîdê), "Microsoft diyar dike.    

Microsoft sala borî eşkere kir ku êrîşkaran çawa OAuth ji bo phishing razîmendiyê xirab dikin. Bikaranîna din ên naskirî yên serîlêdanên OAuth ji bo mebestên xirab di nav de ragihandina ferman-û-kontrol (C2), paşverû, phishing, û beralîkirin. Tewra Nobelium, koma ku di êrîşek zincîra peydakirinê de êrîşî SolarWinds kir, heye OAuth îstismar kir da ku êrîşên berfireh çalak bike.