Dlaczego MFA ma znaczenie: ci atakujący złamali konta administratorów, a następnie wykorzystali Exchange do rozsyłania spamu

Firma Microsoft ujawniła przebiegły przypadek nadużycia aplikacji OAuth, który umożliwił atakującym przekonfigurowanie serwera Exchange ofiary w celu wysyłania spamu.     

Celem tego skomplikowanego ataku było sprawienie, by masowy spam – promujący fałszywą loterię – wyglądał tak, jakby pochodził z zaatakowanej domeny Exchange, a nie z rzeczywistego źródła, którym był ich własny adres IP lub usługi e-mail marketingu stron trzecich, według Microsoftu . 

Podstęp został wykorzystany do nakłonienia odbiorców do podania danych karty kredytowej i zapisania się na powtarzające się subskrypcje. 

„Chociaż schemat prawdopodobnie doprowadził do niechcianych opłat dla celów, nie było dowodów na jawne zagrożenia bezpieczeństwa, takie jak phishing poświadczeń lub rozpowszechnianie złośliwego oprogramowania” — powiedział zespół Microsoft 365 Defender Research Team.

Również: Czym dokładnie jest cyberbezpieczeństwo? A dlaczego to ma znaczenie?

Aby serwer Exchange wysyłał spam, osoby atakujące najpierw naruszyły słabo chronionego dzierżawcę chmury celu, a następnie uzyskały dostęp do uprzywilejowanych kont użytkowników w celu tworzenia złośliwych i uprzywilejowanych aplikacji OAuth w środowisku. Autoryzacja OAuth apps pozwól użytkownikom udzielać ograniczonego dostępu innym apps, ale atakujący tutaj używali go inaczej. 

Żadne z atakowanych kont administratorów nie miało włączonego uwierzytelniania wieloskładnikowego (MFA), co mogło powstrzymać ataki.

„Ważne jest również, aby pamiętać, że wszyscy skompromitowani administratorzy nie mieli włączonej usługi MFA, co mogło zatrzymać atak. Te obserwacje zwiększają znaczenie zabezpieczania kont i monitorowania dla użytkowników wysokiego ryzyka, zwłaszcza tych z wysokimi uprawnieniami” – powiedział Microsoft.

Po wejściu do środka użyli Azure Active Directory (AAD) do zarejestrowania aplikacji, dodali uprawnienie do uwierzytelniania tylko aplikacji modułu PowerShell programu Exchange Online, udzielili zgody administratora na to uprawnienie, a następnie przydzielili nowo zarejestrowanemu administratorowi globalnemu i administratora Exchange role aplikacja.       

„Aktor zagrożenia dodał własne dane uwierzytelniające do aplikacji OAuth, co umożliwiło mu dostęp do aplikacji, nawet jeśli początkowo zhakowany administrator globalny zmienił hasło” — zauważa Microsoft. 

„Wspomniane działania dały podmiotowi zajmującemu się zagrożeniem kontrolę nad wysoce uprzywilejowaną aplikacją”.

Mając to wszystko na swoim miejscu, atakujący wykorzystali aplikację OAuth do połączenia się z modułem Exchange Online PowerShell i zmiany ustawień Exchange, tak aby serwer kierował spam z własnych adresów IP związanych z infrastrukturą atakującego. 

W tym celu wykorzystali funkcję serwera Exchange o nazwie „złącza„do dostosowywania sposobu, w jaki wiadomości e-mail przepływają do i z organizacji za pomocą Microsoft 365/Office 365. Aktor stworzył nowy łącznik przychodzący i skonfigurował kilkanaście”zasady transportu” w przypadku usługi Exchange Online, która usunęła zestaw nagłówków ze spamu kierowanego do serwera Exchange w celu zwiększenia wskaźnika powodzenia kampanii spamowej. Usunięcie nagłówków umożliwia uniknięcie wykrycia wiadomości e-mail przez produkty zabezpieczające. 

„Po każdej kampanii spamowej aktor usuwał złośliwe złącze przychodzące i reguły transportu, aby zapobiec wykryciu, podczas gdy aplikacja pozostawała wdrożona u dzierżawcy aż do następnej fali ataku (w niektórych przypadkach aplikacja była uśpiona przez miesiące, zanim została ponownie użyta przez aktora zagrożenia)”, wyjaśnia Microsoft.    

W zeszłym roku Microsoft szczegółowo opisał, w jaki sposób napastnicy nadużywali OAuth do wyłudzania zgody. Inne znane zastosowania aplikacji OAuth do destrukcyjnych celów obejmują komunikację typu C2, backdoory, phishing i przekierowania. Nawet Nobelium, grupa, która zaatakowała SolarWinds w ataku na łańcuch dostaw, nadużywał OAuth, aby umożliwić szersze ataki.