Почему MFA имеет значение: злоумышленники взломали учетные записи администраторов, а затем использовали Exchange для рассылки спама.

Microsoft раскрыла хитрый случай злоупотребления приложением OAuth, который позволил злоумышленникам перенастроить сервер Exchange жертвы для рассылки спама.     

Смысл тщательно продуманной атаки заключался в том, чтобы массовый спам, рекламирующий фальшивую лотерею, выглядел так, как будто он исходит из скомпрометированного домена Exchange, а не из фактического источника, который был либо их собственным IP-адресом, либо сторонними службами почтового маркетинга, согласно Microsoft. . 

Уловка тотализатора использовалась, чтобы заставить получателей предоставить данные кредитной карты и подписаться на повторяющиеся подписки. 

«Хотя схема, возможно, привела к нежелательным платежам для целей, не было никаких доказательств явных угроз безопасности, таких как фишинг учетных данных или распространение вредоносного ПО», — заявила исследовательская группа Microsoft 365 Defender.

А также: Что такое кибербезопасность? И почему это важно?

Чтобы заставить сервер Exchange рассылать спам, злоумышленники сначала скомпрометировали плохо защищенный облачный клиент цели, а затем получили доступ к привилегированным учетным записям пользователей для создания вредоносных и привилегированных приложений OAuth в среде. OAuth apps разрешить пользователям предоставлять ограниченный доступ к другим apps, но злоумышленники здесь использовали его по-другому. 

Ни в одной из целевых учетных записей администраторов не была включена многофакторная аутентификация (MFA), которая могла бы остановить атаки.

«Также важно отметить, что у всех скомпрометированных администраторов не было включено MFA, что могло бы остановить атаку. Эти наблюдения усиливают важность защиты учетных записей и мониторинга пользователей с высоким уровнем риска, особенно с высокими привилегиями», — заявили в Microsoft.

Оказавшись внутри, они использовали Azure Active Directory (AAD) для регистрации приложения, добавили разрешение для проверки подлинности только для приложения модуля Exchange Online PowerShell, предоставили согласие администратора на это разрешение, а затем предоставили роли глобального администратора и администратора Exchange вновь зарегистрированным пользователям. приложение.       

«Злоумышленник добавил свои собственные учетные данные в приложение OAuth, что позволило им получить доступ к приложению, даже если изначально скомпрометированный глобальный администратор изменил свой пароль», — отмечает Microsoft. 

«Упомянутые действия дали злоумышленнику контроль над высокопривилегированным приложением».

Со всем этим злоумышленники использовали приложение OAuth для подключения к модулю Exchange Online PowerShell и изменения настроек Exchange, чтобы сервер перенаправлял спам с их собственных IP-адресов, связанных с инфраструктурой злоумышленника. 

Для этого они использовали функцию сервера Exchange под названием «Разъемы" для настройки того, как электронная почта передается в организации и из них, использующих Microsoft 365/Office 365. Актер создал новый входящий соединитель и настроил дюжину "транспортные правила” для Exchange Online, которая удалила набор заголовков в спаме, маршрутизируемом Exchange, чтобы повысить вероятность успеха спам-кампании. Удаление заголовков позволяет электронной почте избежать обнаружения продуктами безопасности. 

«После каждой спам-кампании злоумышленник удалял вредоносный входящий коннектор и транспортные правила, чтобы предотвратить обнаружение, в то время как приложение оставалось развернутым в арендаторе до следующей волны атаки (в некоторых случаях приложение бездействовало в течение нескольких месяцев, прежде чем его повторно использовали). субъектом угрозы)», — поясняет Microsoft.    

В прошлом году Microsoft подробно описала, как злоумышленники злоупотребляют OAuth для фишинга согласия. Другие известные способы использования приложений OAuth в злонамеренных целях включают управление и контроль (C2), бэкдоры, фишинг и перенаправления. Даже Nobelium, группа, атаковавшая SolarWinds в ходе атаки на цепочку поставок, злоупотреблял OAuth, чтобы обеспечить более широкие атаки.