Zakaj je MFA pomembna: ti napadalci so vdrli v skrbniške račune in nato uporabili Exchange za pošiljanje neželene pošte

Microsoft je razkril zvit primer zlorabe aplikacije OAuth, ki je napadalcem omogočila, da znova konfigurirajo strežnik Exchange žrtve za pošiljanje neželene pošte.     

Bistvo dovršenega napada je bilo narediti množično neželeno pošto – promoviranje lažne nagradne igre – videti, kot da izvira iz ogrožene domene Exchange in ne dejanskega izvora, ki je bodisi njihov lastni naslov IP ali storitve e-poštnega trženja tretjih oseb, pravi Microsoft. . 

Zvijača z nagradno igro je bila uporabljena za pretentanje prejemnikov v posredovanje podatkov o kreditni kartici in prijavo na ponavljajoče se naročnine. 

»Čeprav je shema morda povzročila neželene stroške za tarče, ni bilo dokazov o očitnih varnostnih grožnjah, kot je lažno predstavljanje poverilnic ali distribucija zlonamerne programske opreme,« je dejala raziskovalna skupina Microsoft 365 Defender.

Prav tako: Kaj pravzaprav je kibernetska varnost? In zakaj je to pomembno?

Da bi strežnik Exchange pošiljal njihovo neželeno pošto, so napadalci najprej ogrozili slabo zaščiten najemnik oblaka tarče in nato pridobili dostop do privilegiranih uporabniških računov za ustvarjanje zlonamernih in privilegiranih aplikacij OAuth v okolju. OAuth apps dovoli uporabnikom, da drugim omogočijo omejen dostop apps, vendar so ga napadalci uporabili drugače. 

Nobeden od ciljnih skrbniških računov ni imel vklopljene večfaktorske avtentikacije (MFA), ki bi lahko zaustavila napade.

»Pomembno je tudi omeniti, da vsi ogroženi skrbniki niso imeli omogočenega MFA, kar bi lahko ustavilo napad. Ta opažanja povečujejo pomen varovanja računov in nadzora za uporabnike z visokim tveganjem, zlasti tiste z visokimi privilegiji,« je dejal Microsoft.

Ko so bili notri, so uporabili Azure Active Directory (AAD) za registracijo aplikacije, dodali dovoljenje za preverjanje pristnosti samo aplikacije za modul Exchange Online PowerShell, odobrili skrbniško soglasje za to dovoljenje in nato novo registriranemu dodelili vlogi globalnega skrbnika in skrbnika Exchangea. aplikacija       

»Akter grožnje je aplikaciji OAuth dodal lastne poverilnice, kar jim je omogočilo dostop do aplikacije, tudi če je prvotno ogroženi globalni skrbnik spremenil njihovo geslo,« ugotavlja Microsoft. 

"Omenjene dejavnosti so akterju grožnje dale nadzor nad zelo privilegirano aplikacijo."

Ko je bilo vse to na mestu, so napadalci uporabili aplikacijo OAuth za povezavo z modulom Exchange Online PowerShell in spremenili nastavitve Exchangea, tako da je strežnik usmerjal neželeno pošto z njihovih lastnih naslovov IP, povezanih z napadalčevo infrastrukturo. 

Za to so uporabili funkcijo strežnika Exchange, imenovano "priključki” za prilagajanje načina pretoka e-pošte v organizacije in iz njih, ki uporabljajo Microsoft 365/Office 365. Igralec je ustvaril nov vhodni konektor in nastavil ducat “prometna pravila” za Exchange Online, ki je izbrisal nabor glav v vsiljeni pošti, ki jo je poslal Exchange, da bi povečal stopnjo uspešnosti kampanje z neželeno pošto. Odstranitev glav omogoča, da se e-poštno sporočilo izogne ​​zaznavanju varnostnih izdelkov. 

»Po vsaki neželeni kampanji je akter izbrisal zlonamerni vhodni konektor in transportna pravila, da bi preprečil odkrivanje, medtem ko je aplikacija ostala razporejena v najemniku do naslednjega vala napada (v nekaterih primerih je bila aplikacija več mesecev v mirovanju, preden so jo ponovno uporabili). s strani akterja grožnje),« pojasnjuje Microsoft.    

Microsoft je lani podrobno opisal, kako so napadalci zlorabljali OAuth za lažno predstavljanje privolitve. Druge znane uporabe aplikacij OAuth za zlonamerne namene vključujejo komunikacijo ukazov in nadzora (C2), stranska vrata, lažno predstavljanje in preusmeritve. Celo Nobelium, skupina, ki je napadla SolarWinds v napadu na dobavno verigo, je zlorabil OAuth za omogočanje širših napadov.