Waarom MFA belangrijk is: deze aanvallers hebben beheerdersaccounts gekraakt en vervolgens Exchange gebruikt om spam te verzenden

Microsoft heeft een listig geval van misbruik van OAuth-apps aan het licht gebracht waardoor de aanvallers de Exchange-server van het slachtoffer opnieuw konden configureren om spam te verzenden.     

Het doel van de uitgebreide aanval was om massale spam - die een nep-sweepstake promootte - eruit te laten zien alsof het afkomstig was van het gecompromitteerde Exchange-domein in plaats van de werkelijke oorsprong, die ofwel hun eigen IP-adres of e-mailmarketingdiensten van derden waren, volgens Microsoft . 

De sweepstake-truc werd gebruikt om ontvangers te misleiden om creditcardgegevens te verstrekken en zich aan te melden voor terugkerende abonnementen. 

"Hoewel de regeling mogelijk leidde tot ongewenste aanklachten voor doelen, was er geen bewijs van openlijke beveiligingsbedreigingen zoals phishing of malwaredistributie", aldus het Microsoft 365 Defender Research Team.

Ook: Wat is cyberveiligheid precies? En waarom maakt het uit?

Om de Exchange-server spam te laten verzenden, hebben de aanvallers eerst de slecht beveiligde cloudtenant van het doelwit gecompromitteerd en vervolgens toegang gekregen tot geprivilegieerde gebruikersaccounts om kwaadaardige en geprivilegieerde OAuth-toepassingen in de omgeving te maken. OAuth apps laat gebruikers beperkte toegang verlenen aan anderen apps, maar de aanvallers hier gebruikten het anders. 

Geen van de beheerdersaccounts die het doelwit waren, had multi-factor authenticatie (MFA) ingeschakeld, wat de aanvallen had kunnen stoppen.

“Het is ook belangrijk op te merken dat alle gecompromitteerde beheerders MFA niet hadden ingeschakeld, wat de aanval had kunnen stoppen. Deze observaties versterken het belang van het beveiligen van accounts en monitoring voor gebruikers met een hoog risico, vooral die met hoge privileges”, aldus Microsoft.

Eenmaal binnen gebruikten ze Azure Active Directory (AAD) om de app te registreren, voegden ze een machtiging toe voor app-only authenticatie van de Exchange Online PowerShell-module, verleenden ze toestemming van de beheerder voor die machtiging en gaven ze vervolgens globale beheerders- en Exchange-beheerdersrollen aan de nieuw geregistreerde app.       

"De dreigingsactor voegde zijn eigen inloggegevens toe aan de OAuth-toepassing, waardoor ze toegang hadden tot de toepassing, zelfs als de aanvankelijk gecompromitteerde globale beheerder zijn wachtwoord had gewijzigd", merkt Microsoft op. 

"De genoemde activiteiten gaven de dreigingsactor controle over een zeer geprivilegieerde applicatie."

Met dit alles op zijn plaats, gebruikten de aanvallers de OAuth-app om verbinding te maken met de Exchange Online PowerShell-module en de Exchange-instellingen te wijzigen, zodat de server spam doorstuurde van hun eigen IP-adressen met betrekking tot de infrastructuur van de aanvaller. 

Om dit te doen gebruikten ze een Exchange-serverfunctie genaamd "connectoren" voor het aanpassen van de manier waarop e-mail van en naar organisaties stroomt met behulp van Microsoft 365/Office 365. De acteur creëerde een nieuwe inkomende connector en zette een tiental "vervoersregels” voor Exchange Online dat een set headers in de door Exchange gerouteerde spam heeft verwijderd om het slagingspercentage van de spamcampagne te vergroten. Door de headers te verwijderen, kan de e-mail detectie door beveiligingsproducten omzeilen. 

“Na elke spamcampagne verwijderde de acteur de kwaadaardige inkomende connector en transportregels om detectie te voorkomen, terwijl de applicatie in de tenant bleef geïmplementeerd tot de volgende aanvalsgolf (in sommige gevallen was de app maandenlang inactief voordat deze opnieuw werd gebruikt) door de dreigingsactor)”, legt Microsoft uit.    

Microsoft heeft vorig jaar gedetailleerd beschreven hoe aanvallers OAuth misbruikten voor phishing met toestemming. Andere bekende toepassingen van OAuth-toepassingen voor kwaadaardige doeleinden zijn command-and-control (C2) communicatie, achterdeurtjes, phishing en omleidingen. Zelfs Nobelium, de groep die SolarWinds aanviel in een supply chain-aanval, heeft OAuth misbruikt om bredere aanvallen mogelijk te maken.