Kāpēc MFA ir svarīga: šie uzbrucēji uzlauza administratora kontus un pēc tam izmantoja Exchange, lai nosūtītu surogātpastu

Korporācija Microsoft ir atklājusi viltīgu OAuth lietotnes ļaunprātīgas izmantošanas gadījumu, kas ļāva uzbrucējiem pārkonfigurēt upura Exchange serveri surogātpasta sūtīšanai.     

Sarežģītā uzbrukuma mērķis bija panākt, lai masveida surogātpasts, kas reklamētu viltotu totalizatoru, izskatītos tā, it kā tas būtu cēlies no apdraudētā Exchange domēna, nevis patiesā izcelsme, kas bija viņu pašu IP adrese vai trešās puses e-pasta mārketinga pakalpojumi, norāda Microsoft. . 

Izlozes viltība tika izmantota, lai apmānītu saņēmējus, lai tie sniegtu kredītkartes informāciju un reģistrētos periodiskiem abonementiem. 

"Lai gan shēma, iespējams, izraisīja nevēlamas maksas par mērķiem, nebija pierādījumu par atklātiem drošības apdraudējumiem, piemēram, akreditācijas datu pikšķerēšanu vai ļaunprātīgas programmatūras izplatīšanu," sacīja Microsoft 365 Defender Research Team.

Arī: Kas īsti ir kiberdrošība? Un kāpēc tas ir svarīgi?

Lai Exchange serveris sūtītu surogātpastu, uzbrucēji vispirms kompromitēja mērķa vāji aizsargāto mākoņa nomnieku un pēc tam ieguva piekļuvi priviliģētiem lietotāju kontiem, lai vidē izveidotu ļaunprātīgas un priviliģētas OAuth lietojumprogrammas. OAuth apps ļauj lietotājiem piešķirt ierobežotu piekļuvi citiem apps, taču šeit uzbrucēji to izmantoja savādāk. 

Nevienam no atlasītajiem administratora kontiem nebija ieslēgta daudzfaktoru autentifikācija (MFA), kas varētu apturēt uzbrukumus.

“Ir arī svarīgi atzīmēt, ka visiem apdraudētajiem administratoriem nebija iespējota MFA, kas varēja apturēt uzbrukumu. Šie novērojumi pastiprina kontu drošības un uzraudzības nozīmi augsta riska lietotājiem, īpaši tiem, kuriem ir lielas privilēģijas, ”sacīja Microsoft.

Tikuši iekšā, viņi izmantoja Azure Active Directory (AAD), lai reģistrētu lietotni, pievienoja atļauju Exchange Online PowerShell moduļa autentifikācijai tikai lietotnē, piešķīra administratora piekrišanu šai atļaujai un pēc tam piešķīra globālās administratora un Exchange administratora lomas jaunreģistrētajiem. lietotne.       

"Draudu izpildītājs pievienoja savus akreditācijas datus OAuth lietojumprogrammai, kas ļāva viņiem piekļūt lietojumprogrammai pat tad, ja sākotnēji apdraudētais globālais administrators mainīja viņu paroli," norāda Microsoft. 

"Minētās darbības nodrošināja apdraudējuma dalībnieku kontroli pār ļoti priviliģētu lietojumprogrammu."

Kad tas viss bija ieviests, uzbrucēji izmantoja OAuth lietotni, lai izveidotu savienojumu ar Exchange Online PowerShell moduli un mainītu Exchange iestatījumus, tādējādi serveris novirzīja surogātpastu no viņu pašu IP adresēm, kas saistītas ar uzbrucēja infrastruktūru. 

Lai to izdarītu, viņi izmantoja Exchange servera funkciju ar nosaukumu "savienotāji”, lai pielāgotu veidu, kā e-pasta plūsma uz un no organizācijām, kas izmanto Microsoft 365/Office 365. Aktieris izveidoja jaunu ienākošo savienotāju un iestatīja ducitransporta noteikumi” Exchange Online, kas izdzēsa virsrakstu kopu Exchange maršrutētajā surogātpasta ziņojumā, lai palielinātu surogātpasta kampaņas panākumu līmeni. Noņemot galvenes, e-pasts var izvairīties no drošības produktu atklāšanas. 

“Pēc katras surogātpasta kampaņas aktieris izdzēsa ļaunprātīgo ienākošo savienotāju un transporta noteikumus, lai novērstu to atklāšanu, savukārt lietojumprogramma palika izvietota nomniekā līdz nākamajam uzbrukuma vilnim (dažos gadījumos lietotne vairākus mēnešus nedarbojās, pirms tā tika atkārtoti izmantota draudu dalībnieks),” skaidro Microsoft.    

Microsoft pagājušajā gadā sīki izklāstīja, kā uzbrucēji ļaunprātīgi izmantoja OAuth piekrišanas pikšķerēšanai. Citi zināmi OAuth lietojumprogrammu lietojumi ļaunprātīgiem nolūkiem ietver komandu un kontroles (C2) saziņu, aizmugures durvis, pikšķerēšanu un novirzīšanu. Pat Nobelium, grupa, kas uzbruka SolarWinds piegādes ķēdes uzbrukumā, ir to darījis ļaunprātīgi izmantoja OAuth, lai iespējotu plašākus uzbrukumus.