Microsoft ໄດ້ເປີດເຜີຍກໍລະນີທີ່ຫຼອກລວງຂອງການລ່ວງລະເມີດແອັບ OAuth ທີ່ອະນຸຍາດໃຫ້ຜູ້ໂຈມຕີສາມາດປັບຄ່າເຊີບເວີ Exchange ຂອງຜູ້ເຄາະຮ້າຍເພື່ອສົ່ງ spam.
ຈຸດຂອງການໂຈມຕີຢ່າງລະອຽດແມ່ນເພື່ອເຮັດໃຫ້ spam ຂະຫນາດໃຫຍ່ - ສົ່ງເສີມການ sweepstake ປອມ - ເບິ່ງຄືວ່າມັນມີຕົ້ນກໍາເນີດມາຈາກໂດເມນ Exchange ທີ່ຖືກທໍາລາຍແທນທີ່ຈະເປັນຕົ້ນສະບັບທີ່ແທ້ຈິງ, ເຊິ່ງເປັນທີ່ຢູ່ IP ຂອງຕົນເອງຫຼືບໍລິການການຕະຫຼາດອີເມວຂອງພາກສ່ວນທີສາມ, ອີງຕາມ Microsoft. .
ການໃຊ້ສະມາດສະເຕກໄດ້ຖືກນໍາໃຊ້ເພື່ອຫລອກລວງຜູ້ຮັບໃຫ້ສະຫນອງລາຍລະອຽດບັດເຄຣດິດແລະການລົງທະບຽນສໍາລັບການສະຫມັກທີ່ເກີດຂື້ນເລື້ອຍໆ.
"ໃນຂະນະທີ່ໂຄງການດັ່ງກ່າວອາດຈະເຮັດໃຫ້ການຄິດຄ່າບໍລິການທີ່ບໍ່ຕ້ອງການສໍາລັບເປົ້າຫມາຍ, ບໍ່ມີຫຼັກຖານໃດໆຂອງໄພຂົ່ມຂູ່ດ້ານຄວາມປອດໄພເຊັ່ນ: ການຫຼອກລວງຂໍ້ມູນຫຼືການແຈກຢາຍ malware," ທີມງານຄົ້ນຄ້ວາຂອງ Microsoft 365 Defender ກ່າວ.
ນອກຈາກນີ້: ແທ້ຈິງແລ້ວ, ຄວາມປອດໄພທາງໄຊເບີແມ່ນຫຍັງ? ແລະເປັນຫຍັງມັນຈຶ່ງສໍາຄັນ?
ເພື່ອເຮັດໃຫ້ເຊີບເວີ Exchange ສົ່ງ spam ຂອງເຂົາເຈົ້າ, ຜູ້ໂຈມຕີໄດ້ທຳຮ້າຍຜູ້ເຊົ່າຄລາວທີ່ມີການປ້ອງກັນບໍ່ດີຂອງເປົ້າໝາຍ ແລະຫຼັງຈາກນັ້ນໄດ້ເຂົ້າເຖິງບັນຊີຜູ້ໃຊ້ທີ່ໄດ້ຮັບສິດທິພິເສດເພື່ອສ້າງແອັບພລິເຄຊັນ OAuth ທີ່ເປັນອັນຕະລາຍ ແລະໄດ້ຮັບສິດທິພິເສດພາຍໃນສະພາບແວດລ້ອມ. OAuth apps ໃຫ້ຜູ້ໃຊ້ອະນຸຍາດໃຫ້ການເຂົ້າເຖິງທີ່ຈໍາກັດເພື່ອອື່ນໆ apps, ແຕ່ຜູ້ໂຈມຕີຢູ່ທີ່ນີ້ໃຊ້ມັນແຕກຕ່າງກັນ.
ບໍ່ມີບັນຊີຜູ້ເບິ່ງແຍງລະບົບໃດໆທີ່ຖືກເປົ້າໝາຍໄດ້ເປີດການພິສູດຢືນຢັນແບບຫຼາຍປັດໃຈ (MFA) ເຊິ່ງສາມາດຢຸດການໂຈມຕີໄດ້.
"ມັນຍັງມີຄວາມສໍາຄັນທີ່ຈະສັງເກດວ່າຜູ້ບໍລິຫານທີ່ຖືກທໍາລາຍທັງຫມົດບໍ່ໄດ້ເປີດໃຊ້ MFA, ເຊິ່ງສາມາດຢຸດການໂຈມຕີໄດ້. ການສັງເກດການເຫຼົ່ານີ້ຂະຫຍາຍຄວາມສໍາຄັນຂອງການຮັບປະກັນບັນຊີແລະການຕິດຕາມຜູ້ໃຊ້ທີ່ມີຄວາມສ່ຽງສູງ, ໂດຍສະເພາະແມ່ນຜູ້ທີ່ມີສິດທິພິເສດ, "Microsoft ກ່າວ.
ເມື່ອຢູ່ໃນພາຍໃນ, ພວກເຂົາເຈົ້າໄດ້ໃຊ້ Azure Active Directory (AAD) ເພື່ອລົງທະບຽນແອັບຯ, ເພີ່ມການອະນຸຍາດສໍາລັບການກວດສອບ app ເທົ່ານັ້ນຂອງໂມດູນ Exchange Online PowerShell, ໃຫ້ການຍິນຍອມຂອງຜູ້ເບິ່ງແຍງການອະນຸຍາດນັ້ນ, ແລະຫຼັງຈາກນັ້ນໄດ້ມອບຫນ້າທີ່ບໍລິຫານທົ່ວໂລກແລະ Exchange admin ໃຫ້ກັບຜູ້ທີ່ລົງທະບຽນໃຫມ່. ແອັບ.
"ນັກຂົ່ມຂູ່ໄດ້ເພີ່ມຂໍ້ມູນປະຈໍາຕົວຂອງເຂົາເຈົ້າກັບແອັບພລິເຄຊັນ OAuth, ເຊິ່ງເຮັດໃຫ້ພວກເຂົາສາມາດເຂົ້າເຖິງແອັບພລິເຄຊັນໄດ້ເຖິງແມ່ນວ່າຜູ້ເບິ່ງແຍງລະບົບທົ່ວໂລກທີ່ຖືກທໍາລາຍໃນເບື້ອງຕົ້ນໄດ້ປ່ຽນລະຫັດຜ່ານຂອງພວກເຂົາ," Microsoft ບັນທຶກໄວ້.
"ກິດຈະກໍາທີ່ໄດ້ກ່າວມາໄດ້ໃຫ້ການຄວບຄຸມຜູ້ຂົ່ມຂູ່ຕໍ່ຄໍາຮ້ອງສະຫມັກທີ່ມີສິດທິພິເສດ."
ດ້ວຍສິ່ງທັງໝົດນີ້, ຜູ້ໂຈມຕີໄດ້ໃຊ້ແອັບ OAuth ເພື່ອເຊື່ອມຕໍ່ກັບໂມດູນ Exchange Online PowerShell ແລະປ່ຽນການຕັ້ງຄ່າ Exchange, ເພື່ອໃຫ້ເຊີບເວີສົ່ງ spam ຈາກທີ່ຢູ່ IP ຂອງຕົນເອງທີ່ກ່ຽວຂ້ອງກັບໂຄງສ້າງພື້ນຖານຂອງຜູ້ໂຈມຕີ.
ເພື່ອເຮັດສິ່ງນີ້, ພວກເຂົາເຈົ້າໄດ້ນໍາໃຊ້ຄຸນນະສົມບັດຂອງເຄື່ອງແມ່ຂ່າຍຂອງ Exchange ເອີ້ນວ່າ ".ຕົວເຊື່ອມຕໍ່” ສໍາລັບການປັບແຕ່ງວິທີການສົ່ງອີເມລ໌ໄປຫາແລະຈາກອົງການຈັດຕັ້ງໂດຍໃຊ້ Microsoft 365/Office 365. ນັກສະແດງໄດ້ສ້າງຕົວເຊື່ອມຕໍ່ຂາເຂົ້າໃຫມ່ແລະຕິດຕັ້ງອາຍແກັສ "ກົດລະບຽບການຂົນສົ່ງ” ສໍາລັບ Exchange Online ທີ່ລຶບຊຸດຂອງສ່ວນຫົວໃນ Exchange-routed spam ເພື່ອເພີ່ມອັດຕາຄວາມສໍາເລັດຂອງແຄມເປນ spam. ການຖອດຫົວອອກເຮັດໃຫ້ອີເມວຫລີກລ່ຽງການກວດພົບໂດຍຜະລິດຕະພັນຄວາມປອດໄພ.
"ຫຼັງຈາກແຕ່ລະແຄມເປນ spam, ນັກສະແດງໄດ້ລຶບຕົວເຊື່ອມຕໍ່ຂາເຂົ້າທີ່ເປັນອັນຕະລາຍແລະກົດລະບຽບການຂົນສົ່ງເພື່ອປ້ອງກັນການກວດພົບ, ໃນຂະນະທີ່ແອັບພລິເຄຊັນຍັງຄົງຖືກ ນຳ ໃຊ້ຢູ່ໃນຜູ້ເຊົ່າຈົນກ່ວາການໂຈມຕີຄັ້ງຕໍ່ໄປ (ໃນບາງກໍລະນີ, ແອັບພລິເຄຊັ່ນໄດ້ຢຸດສະງັກເປັນເວລາຫລາຍເດືອນກ່ອນທີ່ມັນຈະຖືກ ນຳ ໃຊ້ຄືນ ໃໝ່. ໂດຍນັກສະແດງໄພຂົ່ມຂູ່),” Microsoft ອະທິບາຍ.
Microsoft ໃນປີກາຍນີ້ ລາຍລະອຽດວ່າຜູ້ໂຈມຕີໃຊ້ OAuth ແນວໃດເພື່ອການຍິນຍອມ phishing. ການນໍາໃຊ້ທີ່ຮູ້ຈັກອື່ນໆຂອງແອັບພລິເຄຊັນ OAuth ສໍາລັບຈຸດປະສົງທີ່ເປັນອັນຕະລາຍລວມມີການສື່ສານຄໍາສັ່ງແລະການຄວບຄຸມ (C2), backdoors, phishing, ແລະການປ່ຽນເສັ້ນທາງ. ເຖິງແມ່ນວ່າ Nobelium, ກຸ່ມທີ່ໂຈມຕີ SolarWinds ໃນການໂຈມຕີລະບົບຕ່ອງໂສ້ການສະຫນອງ, ມີ ລ່ວງລະເມີດ OAuth ເພື່ອເປີດໃຊ້ການໂຈມຕີທີ່ກວ້າງຂຶ້ນ.