Bakit mahalaga ang MFA: Ni-crack ng mga attacker na ito ang mga admin account pagkatapos ay ginamit ang Exchange upang magpadala ng spam

Inilantad ng Microsoft ang isang mapanlinlang na kaso ng pag-abuso sa OAuth app na nagbigay-daan sa mga umaatake na muling i-configure ang Exchange server ng biktima upang magpadala ng spam.     

Ang punto ng detalyadong pag-atake ay ang gumawa ng mass spam – nagpo-promote ng pekeng sweepstake – na mukhang nagmula ito sa nakompromisong Exchange domain sa halip na sa aktwal na pinagmulan, na alinman sa kanilang sariling IP address o mga third-party na serbisyo sa marketing ng email, ayon sa Microsoft . 

Ginamit ang sweepstake ruse para linlangin ang mga tatanggap sa pagbibigay ng mga detalye ng credit card at pag-sign up para sa mga umuulit na subscription. 

"Bagama't ang scheme ay posibleng humantong sa mga hindi gustong singil para sa mga target, walang ebidensya ng hayagang banta sa seguridad gaya ng kredensyal na phishing o pamamahagi ng malware," sabi ng Microsoft 365 Defender Research Team.

Ito: Ano, eksakto, ang cybersecurity? At bakit ito mahalaga?

Upang maipadala ng Exchange server ang kanilang spam, unang nakompromiso ng mga umaatake ang hindi gaanong pinoprotektahang cloud tenant ng target at pagkatapos ay nakakuha ng access sa mga privileged user account upang lumikha ng mga nakakahamak at may pribilehiyong OAuth na application sa loob ng kapaligiran. OAuth apps hayaan ang mga user na magbigay ng limitadong access sa iba apps, ngunit iba ang ginamit ng mga umaatake dito. 

Wala sa mga administrator account na na-target ang naka-on ang multi-factor authentication (MFA), na maaaring huminto sa mga pag-atake.

“Mahalaga ring tandaan na ang lahat ng nakompromisong admin ay walang MFA na pinagana, na maaaring huminto sa pag-atake. Pinalalakas ng mga obserbasyong ito ang kahalagahan ng pag-secure ng mga account at pagsubaybay para sa mga user na may mataas na peligro, lalo na sa mga may mataas na pribilehiyo," sabi ng Microsoft.

Pagdating sa loob, ginamit nila ang Azure Active Directory (AAD) para irehistro ang app, nagdagdag ng pahintulot para sa app-only na pagpapatotoo ng Exchange Online PowerShell module, nagbigay ng pahintulot ng admin sa pahintulot na iyon, at pagkatapos ay nagbigay ng pandaigdigang admin at Exchange admin na mga tungkulin sa bagong rehistradong app.       

"Idinagdag ng threat actor ang sarili nilang mga kredensyal sa OAuth application, na nagbigay-daan sa kanila na ma-access ang application kahit na binago ng unang nakompromisong global administrator ang kanilang password," sabi ng Microsoft. 

"Ang mga aktibidad na binanggit ay nagbigay sa banta ng aktor ng kontrol sa isang mataas na pribilehiyong aplikasyon."

Sa lahat ng ito, ginamit ng mga umaatake ang OAuth app upang kumonekta sa Exchange Online PowerShell module at baguhin ang mga setting ng Exchange, nang sa gayon ay naruta ng server ang spam mula sa kanilang sariling mga IP address na nauugnay sa imprastraktura ng umaatake. 

Para gawin ito gumamit sila ng feature ng Exchange server na tinatawag na “Connectors” para sa pag-customize sa paraan ng pagdaloy ng email papunta at mula sa mga organisasyon gamit ang Microsoft 365/Office 365. Gumawa ang aktor ng bagong inbound connector at nag-setup ng isang dosenang “mga tuntunin sa transportasyon” para sa Exchange Online na nagtanggal ng isang hanay ng mga header sa Exchange-routed spam upang palakasin ang rate ng tagumpay ng spam campaign. Ang pag-alis ng mga header ay nagbibigay-daan sa email na makaiwas sa pagtuklas ng mga produkto ng seguridad. 

“Pagkatapos ng bawat spam campaign, tinanggal ng aktor ang nakakahamak na inbound connector at mga panuntunan sa transportasyon para maiwasan ang pag-detect, habang nanatiling naka-deploy ang application sa nangungupahan hanggang sa susunod na wave ng pag-atake (sa ilang mga kaso, natutulog ang app nang ilang buwan bago ito muling magamit. ng threat actor),” paliwanag ng Microsoft.    

Idinetalye ng Microsoft noong nakaraang taon kung paano inaabuso ng mga umaatake ang OAuth para sa phishing ng pahintulot. Kasama sa iba pang kilalang paggamit ng mga application ng OAuth para sa mga nakakahamak na layunin ang command-and-control (C2) na komunikasyon, backdoors, phishing, at mga pag-redirect. Maging ang Nobelium, ang grupong umatake sa SolarWinds sa isang supply chain attack, ay mayroon din inabuso ang OAuth upang paganahin ang mas malawak na pag-atake.