Зашто је МФА важан: Ови нападачи су провалили администраторске налоге, а затим користили Екцханге за слање нежељене поште

Мицрософт је разоткрио лукав случај злоупотребе ОАутх апликације која је омогућила нападачима да поново конфигуришу Екцханге сервер жртве за слање нежељене поште.     

Смисао детаљно разрађеног напада била је да масовна нежељена пошта – која промовише лажну наградну игру – изгледа као да потиче са компромитованог Екцханге домена, а не из стварног порекла, које су биле или њихова сопствена ИП адреса или услуге е-поште треће стране, према Мицрософту . 

Превара наградне игре је коришћена да би се примаоци навели да дају податке о кредитној картици и да се пријаве за понављајуће претплате. 

„Иако је шема вероватно довела до нежељених наплата за мете, није било доказа о отвореним безбедносним претњама као што су пхисхинг акредитива или дистрибуција малвера“, рекао је истраживачки тим Мицрософт 365 Дефендер.

Такође: Шта је, заправо, сајбер безбедност? И зашто је то важно?

Да би натерали Екцханге сервер да шаље своју нежељену пошту, нападачи су прво компромитовали циљног слабо заштићеног закупца облака, а затим су добили приступ привилегованим корисничким налозима како би креирали злонамерне и привилеговане ОАутх апликације у окружењу. ОАутх apps дозволите корисницима да доделе ограничен приступ другима apps, али су га нападачи овде користили другачије. 

Ниједан од циљаних администраторских налога није укључио вишефакторску аутентификацију (МФА), што је могло да заустави нападе.

„Такође је важно напоменути да сви компромитовани администратори нису имали омогућен МФА, што је могло да заустави напад. Ова запажања наглашавају важност обезбеђења налога и надгледања за високоризичне кориснике, посебно оне са високим привилегијама“, рекао је Мицрософт.

Када су ушли, користили су Азуре Ацтиве Дирецтори (ААД) да региструју апликацију, додали дозволу за аутентификацију само за апликацију Екцханге Онлине ПоверСхелл модула, дали сагласност администратора на ту дозволу, а затим дали глобалне администраторске и Екцханге улоге администратора новорегистрованим апликација.       

„Учесник претњи је додао сопствене акредитиве у ОАутх апликацију, што им је омогућило да приступе апликацији чак и ако им је првобитно компромитовани глобални администратор променио лозинку“, примећује Мицрософт. 

„Поменуте активности дале су актеру претње контролу над високо привилегованом апликацијом.“

Уз све ово на месту, нападачи су користили ОАутх апликацију да се повежу са Екцханге Онлине ПоверСхелл модулом и промене Екцханге поставке, тако да је сервер преусмерио нежељену пошту са њихових сопствених ИП адреса повезаних са инфраструктуром нападача. 

Да би то урадили, користили су функцију Екцханге сервера под називом „конектори” за прилагођавање начина на који е-пошта тече у и из организација које користе Мицрософт 365/Оффице 365. Глумац је направио нови улазни конектор и подесио десетак „правила транспорта” за Екцханге Онлине који је избрисао скуп заглавља у нежељеној поруци коју је преусмерио Екцханге да би повећао стопу успеха кампање за нежељену пошту. Уклањање заглавља омогућава да е-пошта избегне откривање безбедносних производа. 

„Након сваке спам кампање, актер је обрисао злонамерни улазни конектор и правила транспорта како би спречио откривање, док је апликација остала распоређена у закупцу до следећег таласа напада (у неким случајевима, апликација је била у мировању месецима пре него што је поново употребљена од стране актера претње)“, објашњава Мицрософт.    

Мицрософт је прошле године детаљно описао како су нападачи злоупотребљавали ОАутх за пхисхинг пристанка. Остале познате употребе ОАутх апликација у злонамерне сврхе укључују комуникацију са командом и контролом (Ц2), бацкдоор, пхисхинг и преусмеравања. Чак је и Нобелијум, група која је напала СоларВиндс у нападу на ланац снабдевања, имала злоупотребио ОАутх да би омогућио шире нападе.