Hvorfor MFA er viktig: Disse angriperne knakk administratorkontoer og brukte deretter Exchange til å sende spam

Microsoft har avslørt et snedig tilfelle av misbruk av OAuth-apper som gjorde det mulig for angriperne å rekonfigurere offerets Exchange-server til å sende spam.     

Poenget med det forseggjorte angrepet var å få massesøppelpost – som promoterer en falsk konkurranse – til å se ut som om det stammer fra det kompromitterte Exchange-domenet i stedet for den faktiske opprinnelsen, som enten var deres egen IP-adresse eller tredjeparts e-postmarkedsføringstjenester, ifølge Microsoft . 

Konkurransen ble brukt til å lure mottakere til å oppgi kredittkortopplysninger og registrere seg for tilbakevendende abonnementer. 

"Selv om ordningen muligens førte til uønskede siktelser for mål, var det ingen bevis for åpenbare sikkerhetstrusler som phishing eller distribusjon av skadelig programvare," sa Microsoft 365 Defender Research Team.

Også: Hva er cybersikkerhet egentlig? Og hvorfor spiller det noen rolle?

For å få Exchange-serveren til å sende spam, kom angriperne først målets dårlig beskyttede skyleietaker og fikk deretter tilgang til privilegerte brukerkontoer for å lage ondsinnede og privilegerte OAuth-applikasjoner i miljøet. OAuth apps la brukere gi begrenset tilgang til andre apps, men angriperne her brukte det annerledes. 

Ingen av administratorkontoene som ble målrettet hadde multifaktorautentisering (MFA) slått på, noe som kunne ha stoppet angrepene.

"Det er også viktig å merke seg at alle de kompromitterte administratorene ikke hadde MFA aktivert, noe som kunne ha stoppet angrepet. Disse observasjonene forsterker viktigheten av å sikre kontoer og overvåking for høyrisikobrukere, spesielt de med høye privilegier, sa Microsoft.

Da de var inne brukte de Azure Active Directory (AAD) for å registrere appen, la til en tillatelse for app-autentisering av Exchange Online PowerShell-modulen, ga administratorsamtykke til den tillatelsen, og ga deretter globale administrator- og Exchange-administratorroller til de nylig registrerte app.       

"Trusselaktøren la til sin egen legitimasjon til OAuth-applikasjonen, som gjorde det mulig for dem å få tilgang til applikasjonen selv om den opprinnelig kompromitterte globale administratoren endret passordet," bemerker Microsoft. 

"De nevnte aktivitetene ga trusselaktøren kontroll over en svært privilegert applikasjon."

Med alt dette på plass brukte angriperne OAuth-appen for å koble til Exchange Online PowerShell-modulen og endre Exchange-innstillinger, slik at serveren rutet spam fra deres egne IP-adresser relatert til angriperens infrastruktur. 

For å gjøre dette brukte de en Exchange-serverfunksjon kalt "kontakter" for å tilpasse måten e-post flyter til og fra organisasjoner som bruker Microsoft 365/Office 365. Aktøren opprettet en ny innkommende kobling og konfigurerte et dusin "transportregler” for Exchange Online som slettet et sett med overskrifter i Exchange-rutet spam for å øke suksessraten til spamkampanjen. Ved å fjerne overskriftene kan e-posten unngå gjenkjenning av sikkerhetsprodukter. 

«Etter hver spam-kampanje slettet skuespilleren den ondsinnede innkommende koblingen og transportreglene for å forhindre oppdagelse, mens applikasjonen forble utplassert i leietakeren til neste angrepsbølge (i noen tilfeller var appen i dvale i flere måneder før den ble gjenbrukt av trusselaktøren), forklarer Microsoft.    

Microsoft beskrev i fjor hvordan angripere misbrukte OAuth for phishing med samtykke. Andre kjente bruk av OAuth-applikasjoner for ondsinnede formål inkluderer kommando-og-kontroll (C2) kommunikasjon, bakdører, phishing og omdirigeringer. Det har til og med Nobelium, gruppen som angrep SolarWinds i et forsyningskjedeangrep misbrukte OAuth for å muliggjøre bredere angrep.