Kodėl MFA svarbu: šie užpuolikai nulaužė administratoriaus paskyras ir naudojo „Exchange“ šlamštui siųsti

„Microsoft“ atskleidė gudrų „OAuth“ programos piktnaudžiavimo atvejį, kuris leido užpuolikams iš naujo sukonfigūruoti aukos „Exchange“ serverį, kad būtų galima siųsti šlamštą.     

Šios sudėtingos atakos tikslas buvo padaryti, kad masinis šlamštas – reklamuojantis netikrą loteriją – atrodytų taip, lyg jis būtų kilęs iš pažeisto „Exchange“ domeno, o ne tikrosios kilmės – jų pačių IP adresas arba trečiosios šalies el. pašto rinkodaros paslaugos, teigia „Microsoft“ . 

Loterijos apgaulė buvo panaudota siekiant apgauti gavėjus, kad jie pateiktų kredito kortelės duomenis ir užsiregistruotų pasikartojančioms prenumeratoms. 

„Nors dėl schemos taikiniams galėjo būti taikomi nepageidaujami mokesčiai, nebuvo jokių akivaizdžių grėsmių saugumui, pvz., kredencialų sukčiavimo ar kenkėjiškų programų platinimo, įrodymų“, – teigė „Microsoft 365 Defender Research Team“.

Taip pat: Kas tiksliai yra kibernetinis saugumas? Ir kodėl tai svarbu?

Kad „Exchange“ serveris siųstų šlamštą, užpuolikai pirmiausia sukompromitavo taikinio prastai apsaugotą debesies nuomininką, o tada gavo prieigą prie privilegijuotų vartotojų paskyrų, kad sukurtų kenksmingas ir privilegijuotas „OAuth“ programas aplinkoje. OAuth apps leisti vartotojams suteikti ribotą prieigą kitiems apps, bet čia užpuolikai naudojo kitaip. 

Nė vienoje iš administratoriaus paskyrų, į kurias buvo nukreipta, nebuvo įjungtas kelių veiksnių autentifikavimas (MFA), kuris galėjo sustabdyti atakas.

„Taip pat svarbu pažymėti, kad visi sukompromituoti administratoriai nebuvo įjungę MFA, o tai galėjo sustabdyti ataką. Šie stebėjimai sustiprina paskyrų apsaugos ir stebėjimo svarbą didelės rizikos vartotojams, ypač turintiems dideles privilegijas“, – teigė „Microsoft“.

Patekę į vidų, jie naudojo „Azure Active Directory“ (AAD) programai užregistruoti, pridėjo leidimą tik programoms autentifikuoti „Exchange Online PowerShell“ modulį, suteikė administratoriaus sutikimą su šiuo leidimu, o tada suteikė visuotinio administratoriaus ir „Exchange“ administratoriaus vaidmenis naujai registruotiems asmenims. programėlė.       

„Grėsmės veikėjas pridėjo savo kredencialus prie „OAuth“ programos, o tai leido jiems pasiekti programą, net jei iš pradžių pažeistas visuotinis administratorius pakeitė savo slaptažodį“, – pažymi „Microsoft“. 

„Paminėta veikla leido grėsmės veikėjui valdyti labai privilegijuotą programą.

Visa tai įgyvendinę, užpuolikai naudojo „OAuth“ programą, kad prisijungtų prie „Exchange Online PowerShell“ modulio ir pakeistų „Exchange“ nustatymus, kad serveris nukreiptų šlamštą iš savo IP adresų, susijusių su užpuoliko infrastruktūra. 

Norėdami tai padaryti, jie naudojo „Exchange“ serverio funkciją, vadinamą „jungtys“, kad būtų galima tinkinti el. pašto srautų į ir iš organizacijų, naudojančių Microsoft 365/Office 365, būdus. Aktorius sukūrė naują gaunamo ryšio jungtį ir nustatė keliolikatransporto taisyklės“, skirta „Exchange Online“, kuri ištrynė „Exchange“ nukreiptame šlamšto antraščių rinkinį, kad padidintų šlamšto kampanijos sėkmės rodiklį. Pašalinus antraštes, el. laiškas gali išvengti saugos produktų aptikimo. 

„Po kiekvienos šlamšto kampanijos aktorius ištrynė kenkėjišką įeinančią jungtį ir transportavimo taisykles, kad būtų išvengta aptikimo, o programa liko įdiegta nuomininke iki kitos atakos bangos (kai kuriais atvejais programa neveikė mėnesius, kol buvo pakartotinai naudojama grėsmės veikėjas)“, – aiškina „Microsoft“.    

„Microsoft“ praėjusiais metais išsamiai paaiškino, kaip užpuolikai piktnaudžiavo „OAuth“, kad gautų sutikimą sukčiauti. Kiti žinomi „OAuth“ programų panaudojimo būdai kenkėjiškais tikslais apima komandų ir valdymo (C2) ryšį, užpakalines duris, sukčiavimą ir peradresavimus. Net Nobelium, grupė, kuri užpuolė SolarWinds tiekimo grandinės ataka, turi piktnaudžiavo OAuth, kad įgalintų platesnes atakas.