MFA ਮਾਇਨੇ ਕਿਉਂ ਰੱਖਦਾ ਹੈ: ਇਹਨਾਂ ਹਮਲਾਵਰਾਂ ਨੇ ਐਡਮਿਨ ਖਾਤਿਆਂ ਨੂੰ ਕ੍ਰੈਕ ਕੀਤਾ ਅਤੇ ਫਿਰ ਸਪੈਮ ਭੇਜਣ ਲਈ ਐਕਸਚੇਂਜ ਦੀ ਵਰਤੋਂ ਕੀਤੀ

Microsoft ਨੇ OAuth ਐਪ ਦੀ ਦੁਰਵਰਤੋਂ ਦੇ ਇੱਕ ਚਲਾਕ ਮਾਮਲੇ ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ ਹੈ ਜਿਸ ਨੇ ਹਮਲਾਵਰਾਂ ਨੂੰ ਸਪੈਮ ਭੇਜਣ ਲਈ ਪੀੜਤ ਦੇ ਐਕਸਚੇਂਜ ਸਰਵਰ ਨੂੰ ਮੁੜ ਸੰਰਚਿਤ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਦਿੱਤੀ ਸੀ।     

ਵਿਸਤ੍ਰਿਤ ਹਮਲੇ ਦਾ ਬਿੰਦੂ ਮਾਸ ਸਪੈਮ ਬਣਾਉਣਾ ਸੀ - ਇੱਕ ਜਾਅਲੀ ਸਵੀਪਸਟੈਕ ਨੂੰ ਉਤਸ਼ਾਹਿਤ ਕਰਨਾ - ਅਜਿਹਾ ਲਗਦਾ ਹੈ ਕਿ ਇਹ ਅਸਲ ਮੂਲ ਦੀ ਬਜਾਏ ਸਮਝੌਤਾ ਕੀਤੇ ਐਕਸਚੇਂਜ ਡੋਮੇਨ ਤੋਂ ਉਤਪੰਨ ਹੋਇਆ ਹੈ, ਜੋ ਕਿ ਜਾਂ ਤਾਂ ਉਹਨਾਂ ਦਾ ਆਪਣਾ IP ਪਤਾ ਜਾਂ ਤੀਜੀ-ਧਿਰ ਈਮੇਲ ਮਾਰਕੀਟਿੰਗ ਸੇਵਾਵਾਂ ਸਨ, ਮਾਈਕਰੋਸਾਫਟ ਦੇ ਅਨੁਸਾਰ . 

ਸਵੀਪਸਟੈਕ ਦੀ ਵਰਤੋਂ ਪ੍ਰਾਪਤਕਰਤਾਵਾਂ ਨੂੰ ਕ੍ਰੈਡਿਟ ਕਾਰਡ ਦੇ ਵੇਰਵੇ ਪ੍ਰਦਾਨ ਕਰਨ ਅਤੇ ਆਵਰਤੀ ਗਾਹਕੀਆਂ ਲਈ ਸਾਈਨ ਅੱਪ ਕਰਨ ਲਈ ਧੋਖਾ ਦੇਣ ਲਈ ਕੀਤੀ ਜਾਂਦੀ ਸੀ। 

ਮਾਈਕ੍ਰੋਸਾਫਟ 365 ਡਿਫੈਂਡਰ ਰਿਸਰਚ ਟੀਮ ਨੇ ਕਿਹਾ, "ਹਾਲਾਂਕਿ ਸਕੀਮ ਸੰਭਾਵਤ ਤੌਰ 'ਤੇ ਟੀਚਿਆਂ ਲਈ ਅਣਚਾਹੇ ਖਰਚਿਆਂ ਦੀ ਅਗਵਾਈ ਕਰਦੀ ਹੈ, ਪਰ ਕ੍ਰੈਡੈਂਸ਼ੀਅਲ ਫਿਸ਼ਿੰਗ ਜਾਂ ਮਾਲਵੇਅਰ ਡਿਸਟ੍ਰੀਬਿਊਸ਼ਨ ਵਰਗੇ ਸਪੱਸ਼ਟ ਸੁਰੱਖਿਆ ਖਤਰਿਆਂ ਦਾ ਕੋਈ ਸਬੂਤ ਨਹੀਂ ਸੀ।

ਵੀ: ਅਸਲ ਵਿੱਚ, ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਕੀ ਹੈ? ਅਤੇ ਇਸ ਨਾਲ ਕੋਈ ਫ਼ਰਕ ਕਿਉਂ ਪੈਂਦਾ ਹੈ?

ਐਕਸਚੇਂਜ ਸਰਵਰ ਨੂੰ ਆਪਣਾ ਸਪੈਮ ਭੇਜਣ ਲਈ, ਹਮਲਾਵਰਾਂ ਨੇ ਪਹਿਲਾਂ ਟੀਚੇ ਦੇ ਮਾੜੇ ਸੁਰੱਖਿਅਤ ਕਲਾਉਡ ਕਿਰਾਏਦਾਰ ਨਾਲ ਸਮਝੌਤਾ ਕੀਤਾ ਅਤੇ ਫਿਰ ਵਾਤਾਵਰਣ ਵਿੱਚ ਖਤਰਨਾਕ ਅਤੇ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਪ੍ਰਾਪਤ OAuth ਐਪਲੀਕੇਸ਼ਨਾਂ ਬਣਾਉਣ ਲਈ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਪ੍ਰਾਪਤ ਉਪਭੋਗਤਾ ਖਾਤਿਆਂ ਤੱਕ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕੀਤੀ। OAuth apps ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਹੋਰਾਂ ਤੱਕ ਸੀਮਤ ਪਹੁੰਚ ਪ੍ਰਦਾਨ ਕਰਨ ਦਿਓ apps, ਪਰ ਇੱਥੇ ਹਮਲਾਵਰਾਂ ਨੇ ਇਸ ਨੂੰ ਵੱਖਰੇ ਤਰੀਕੇ ਨਾਲ ਵਰਤਿਆ। 

ਕਿਸੇ ਵੀ ਪ੍ਰਸ਼ਾਸਕ ਖਾਤੇ ਜਿਨ੍ਹਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ ਗਿਆ ਸੀ, ਮਲਟੀ-ਫੈਕਟਰ ਪ੍ਰਮਾਣਿਕਤਾ (MFA) ਨੂੰ ਚਾਲੂ ਨਹੀਂ ਕੀਤਾ ਗਿਆ ਸੀ, ਜਿਸ ਨਾਲ ਹਮਲਿਆਂ ਨੂੰ ਰੋਕਿਆ ਜਾ ਸਕਦਾ ਸੀ।

“ਇਹ ਨੋਟ ਕਰਨਾ ਵੀ ਮਹੱਤਵਪੂਰਨ ਹੈ ਕਿ ਸਮਝੌਤਾ ਕੀਤੇ ਗਏ ਸਾਰੇ ਪ੍ਰਸ਼ਾਸਕਾਂ ਕੋਲ MFA ਸਮਰਥਿਤ ਨਹੀਂ ਸੀ, ਜਿਸ ਨਾਲ ਹਮਲੇ ਨੂੰ ਰੋਕਿਆ ਜਾ ਸਕਦਾ ਸੀ। ਇਹ ਨਿਰੀਖਣ ਖਾਤਿਆਂ ਨੂੰ ਸੁਰੱਖਿਅਤ ਕਰਨ ਅਤੇ ਉੱਚ ਜੋਖਮ ਵਾਲੇ ਉਪਭੋਗਤਾਵਾਂ ਲਈ ਨਿਗਰਾਨੀ ਦੇ ਮਹੱਤਵ ਨੂੰ ਵਧਾਉਂਦੇ ਹਨ, ਖਾਸ ਤੌਰ 'ਤੇ ਉੱਚ ਅਧਿਕਾਰਾਂ ਵਾਲੇ, ”ਮਾਈਕ੍ਰੋਸਾਫਟ ਨੇ ਕਿਹਾ।

ਅੰਦਰ ਜਾਣ ਤੋਂ ਬਾਅਦ, ਉਹਨਾਂ ਨੇ ਐਪ ਨੂੰ ਰਜਿਸਟਰ ਕਰਨ ਲਈ Azure Active Directory (AAD) ਦੀ ਵਰਤੋਂ ਕੀਤੀ, ਐਕਸਚੇਂਜ ਔਨਲਾਈਨ ਪਾਵਰਸ਼ੇਲ ਮੋਡੀਊਲ ਦੀ ਐਪ-ਓਨਲੀ ਪ੍ਰਮਾਣਿਕਤਾ ਲਈ ਇੱਕ ਅਨੁਮਤੀ ਜੋੜੀ, ਉਸ ਅਨੁਮਤੀ ਲਈ ਪ੍ਰਸ਼ਾਸਕ ਦੀ ਸਹਿਮਤੀ ਦਿੱਤੀ, ਅਤੇ ਫਿਰ ਨਵੇਂ ਰਜਿਸਟਰਡ ਨੂੰ ਗਲੋਬਲ ਐਡਮਿਨ ਅਤੇ ਐਕਸਚੇਂਜ ਐਡਮਿਨ ਰੋਲ ਦਿੱਤੇ। ਐਪ।       

ਮਾਈਕ੍ਰੋਸਾਫਟ ਨੋਟ ਕਰਦਾ ਹੈ, "ਖਤਰੇ ਵਾਲੇ ਅਭਿਨੇਤਾ ਨੇ OAuth ਐਪਲੀਕੇਸ਼ਨ ਵਿੱਚ ਆਪਣੇ ਖੁਦ ਦੇ ਪ੍ਰਮਾਣ ਪੱਤਰ ਸ਼ਾਮਲ ਕੀਤੇ, ਜਿਸ ਨੇ ਉਹਨਾਂ ਨੂੰ ਐਪਲੀਕੇਸ਼ਨ ਤੱਕ ਪਹੁੰਚ ਕਰਨ ਦੇ ਯੋਗ ਬਣਾਇਆ ਭਾਵੇਂ ਸ਼ੁਰੂਆਤ ਵਿੱਚ ਸਮਝੌਤਾ ਕੀਤੇ ਗਏ ਗਲੋਬਲ ਪ੍ਰਸ਼ਾਸਕ ਨੇ ਆਪਣਾ ਪਾਸਵਰਡ ਬਦਲਿਆ ਹੋਵੇ," Microsoft ਨੋਟ ਕਰਦਾ ਹੈ। 

"ਉਲੇਖ ਕੀਤੀਆਂ ਗਤੀਵਿਧੀਆਂ ਨੇ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਭਿਨੇਤਾ ਨੂੰ ਇੱਕ ਉੱਚ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਪ੍ਰਾਪਤ ਐਪਲੀਕੇਸ਼ਨ ਦਾ ਨਿਯੰਤਰਣ ਦਿੱਤਾ."

ਇਸ ਸਭ ਕੁਝ ਦੇ ਨਾਲ, ਹਮਲਾਵਰਾਂ ਨੇ ਐਕਸਚੇਂਜ ਔਨਲਾਈਨ ਪਾਵਰਸ਼ੇਲ ਮੋਡੀਊਲ ਨਾਲ ਜੁੜਨ ਅਤੇ ਐਕਸਚੇਂਜ ਸੈਟਿੰਗਾਂ ਨੂੰ ਬਦਲਣ ਲਈ OAuth ਐਪ ਦੀ ਵਰਤੋਂ ਕੀਤੀ, ਤਾਂ ਜੋ ਸਰਵਰ ਨੇ ਹਮਲਾਵਰ ਦੇ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਨਾਲ ਸਬੰਧਤ ਉਹਨਾਂ ਦੇ ਆਪਣੇ IP ਪਤਿਆਂ ਤੋਂ ਸਪੈਮ ਨੂੰ ਰੂਟ ਕੀਤਾ। 

ਅਜਿਹਾ ਕਰਨ ਲਈ ਉਹਨਾਂ ਨੇ ਇੱਕ ਐਕਸਚੇਂਜ ਸਰਵਰ ਵਿਸ਼ੇਸ਼ਤਾ ਦੀ ਵਰਤੋਂ ਕੀਤੀ ਜਿਸਨੂੰ "ਕੁਨੈਕਟਰ"Microsoft 365/Office 365 ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਸੰਗਠਨਾਂ ਨੂੰ ਈਮੇਲ ਦੇ ਪ੍ਰਵਾਹ ਦੇ ਤਰੀਕੇ ਨੂੰ ਅਨੁਕੂਲਿਤ ਕਰਨ ਲਈ। ਅਭਿਨੇਤਾ ਨੇ ਇੱਕ ਨਵਾਂ ਇਨਬਾਉਂਡ ਕਨੈਕਟਰ ਬਣਾਇਆ ਅਤੇ ਇੱਕ ਦਰਜਨ ਸੈੱਟਅੱਪ ਕੀਤਾ"ਆਵਾਜਾਈ ਦੇ ਨਿਯਮਐਕਸਚੇਂਜ ਔਨਲਾਈਨ ਲਈ ਜਿਸ ਨੇ ਸਪੈਮ ਮੁਹਿੰਮ ਦੀ ਸਫਲਤਾ ਦਰ ਨੂੰ ਵਧਾਉਣ ਲਈ ਐਕਸਚੇਂਜ-ਰੂਟਡ ਸਪੈਮ ਵਿੱਚ ਸਿਰਲੇਖਾਂ ਦੇ ਇੱਕ ਸਮੂਹ ਨੂੰ ਮਿਟਾ ਦਿੱਤਾ ਹੈ। ਸਿਰਲੇਖਾਂ ਨੂੰ ਹਟਾਉਣਾ ਈਮੇਲ ਨੂੰ ਸੁਰੱਖਿਆ ਉਤਪਾਦਾਂ ਦੁਆਰਾ ਖੋਜ ਤੋਂ ਬਚਣ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ। 

“ਹਰੇਕ ਸਪੈਮ ਮੁਹਿੰਮ ਤੋਂ ਬਾਅਦ, ਅਭਿਨੇਤਾ ਨੇ ਖੋਜ ਨੂੰ ਰੋਕਣ ਲਈ ਖਤਰਨਾਕ ਇਨਬਾਉਂਡ ਕਨੈਕਟਰ ਅਤੇ ਟ੍ਰਾਂਸਪੋਰਟ ਨਿਯਮਾਂ ਨੂੰ ਮਿਟਾ ਦਿੱਤਾ, ਜਦੋਂ ਕਿ ਐਪਲੀਕੇਸ਼ਨ ਹਮਲੇ ਦੀ ਅਗਲੀ ਲਹਿਰ ਤੱਕ ਕਿਰਾਏਦਾਰ ਵਿੱਚ ਤਾਇਨਾਤ ਰਹੀ (ਕੁਝ ਮਾਮਲਿਆਂ ਵਿੱਚ, ਐਪ ਦੁਬਾਰਾ ਵਰਤੋਂ ਕੀਤੇ ਜਾਣ ਤੋਂ ਪਹਿਲਾਂ ਮਹੀਨਿਆਂ ਲਈ ਸੁਸਤ ਸੀ। ਧਮਕੀ ਅਭਿਨੇਤਾ ਦੁਆਰਾ), ”ਮਾਈਕ੍ਰੋਸਾਫਟ ਦੱਸਦਾ ਹੈ।    

ਮਾਈਕਰੋਸਾਫਟ ਨੇ ਪਿਛਲੇ ਸਾਲ ਵਿਸਤਾਰ ਦਿੱਤਾ ਸੀ ਕਿ ਕਿਵੇਂ ਹਮਲਾਵਰ ਸਹਿਮਤੀ ਫਿਸ਼ਿੰਗ ਲਈ OAuth ਦੀ ਦੁਰਵਰਤੋਂ ਕਰ ਰਹੇ ਸਨ। ਖਤਰਨਾਕ ਉਦੇਸ਼ਾਂ ਲਈ OAuth ਐਪਲੀਕੇਸ਼ਨਾਂ ਦੇ ਹੋਰ ਜਾਣੇ-ਪਛਾਣੇ ਉਪਯੋਗਾਂ ਵਿੱਚ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸੰਚਾਰ, ਬੈਕਡੋਰ, ਫਿਸ਼ਿੰਗ, ਅਤੇ ਰੀਡਾਇਰੈਕਸ਼ਨ ਸ਼ਾਮਲ ਹਨ। ਇੱਥੋਂ ਤੱਕ ਕਿ ਨੋਬੇਲੀਅਮ, ਉਹ ਸਮੂਹ ਜਿਸ ਨੇ ਸਪਲਾਈ ਚੇਨ ਹਮਲੇ ਵਿੱਚ ਸੋਲਰਵਿੰਡਜ਼ 'ਤੇ ਹਮਲਾ ਕੀਤਾ ਸੀ, ਕੋਲ ਹੈ ਵਿਆਪਕ ਹਮਲਿਆਂ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਣ ਲਈ OAuth ਦੀ ਦੁਰਵਰਤੋਂ ਕੀਤੀ.