MFA neden önemlidir: Bu saldırganlar yönetici hesaplarını kırdı ve ardından spam göndermek için Exchange'i kullandı

Microsoft, saldırganların kurbanın Exchange sunucusunu spam gönderecek şekilde yeniden yapılandırmasına izin veren kurnaz bir OAuth uygulaması kötüye kullanımı vakasını ortaya çıkardı.     

Ayrıntılı saldırının amacı, toplu spam - sahte bir çekilişi teşvik etmek - Microsoft'a göre kendi IP adresleri veya üçüncü taraf e-posta pazarlama hizmetleri olan gerçek kökenlerden ziyade güvenliği ihlal edilmiş Exchange etki alanından geliyormuş gibi göstermekti. . 

Çekiliş hilesi, alıcıları kredi kartı bilgilerini vermeleri ve tekrarlayan aboneliklere kaydolmaları için kandırmak için kullanıldı. 

Microsoft 365 Defender Araştırma Ekibi, "Plan, muhtemelen hedefler için istenmeyen ücretlere yol açsa da, kimlik bilgisi avı veya kötü amaçlı yazılım dağıtımı gibi açık güvenlik tehditlerine dair hiçbir kanıt yoktu" dedi.

Ayrıca: Siber güvenlik tam olarak nedir? Ve neden önemli?

Exchange sunucusunun spam göndermesini sağlamak için, saldırganlar önce hedefin kötü korunan bulut kiracısının güvenliğini ihlal etti ve ardından ortam içinde kötü amaçlı ve ayrıcalıklı OAuth uygulamaları oluşturmak için ayrıcalıklı kullanıcı hesaplarına erişim kazandı. OAuth apps kullanıcıların diğerlerine sınırlı erişim vermesine izin ver apps, ancak burada saldırganlar bunu farklı şekilde kullandılar. 

Hedeflenen yönetici hesaplarının hiçbirinde çok faktörlü kimlik doğrulama (MFA) açık değildi, bu da saldırıları durdurabilirdi.

"Ayrıca, güvenliği ihlal edilmiş tüm yöneticilerin saldırıyı durdurabilecek MFA'yı etkinleştirmediğini de belirtmek önemlidir. Bu gözlemler, özellikle yüksek ayrıcalıklara sahip olanlar olmak üzere yüksek riskli kullanıcılar için hesapları güvence altına almanın ve izlemenin önemini artırıyor” dedi.

İçeri girdikten sonra, uygulamayı kaydettirmek için Azure Active Directory'yi (AAD) kullandılar, Exchange Online PowerShell modülünün yalnızca uygulama kimlik doğrulaması için bir izin eklediler, bu izne yönetici izni verdiler ve ardından yeni kaydedilenlere genel yönetici ve Exchange yönetici rolleri verdiler. uygulama.       

Microsoft, "Tehdit aktörü, OAuth uygulamasına kendi kimlik bilgilerini ekledi ve bu, başlangıçta güvenliği ihlal edilen küresel yönetici şifresini değiştirse bile uygulamaya erişmelerini sağladı" dedi. 

"Bahsedilen faaliyetler, tehdit aktörüne son derece ayrıcalıklı bir uygulamanın kontrolünü verdi."

Tüm bunlar yerine getirildiğinde, saldırganlar Exchange Online PowerShell modülüne bağlanmak ve Exchange ayarlarını değiştirmek için OAuth uygulamasını kullandılar, böylece sunucu, saldırganın altyapısıyla ilgili kendi IP adreslerinden istenmeyen postaları yönlendirdi. 

Bunu yapmak için “adlı bir Exchange sunucusu özelliği kullandılar.konnektörleri” Microsoft 365/Office 365 kullanan kuruluşlara ve kuruluşlardan gelen e-posta akışını özelleştirmek için. Oyuncu yeni bir gelen bağlayıcı oluşturdu ve bir düzine kurdu”taşıma kuralları”, spam kampanyasının başarı oranını artırmak için Exchange tarafından yönlendirilen spam'deki bir dizi üstbilgiyi silen Exchange Online için. Başlıkların kaldırılması, e-postanın güvenlik ürünleri tarafından algılanmamasını sağlar. 

“Her spam kampanyasından sonra, oyuncu, tespit edilmesini önlemek için kötü niyetli gelen bağlayıcıyı ve aktarım kurallarını sildi, uygulama ise bir sonraki saldırı dalgasına kadar kiracıda konuşlandırıldı (bazı durumlarda, uygulama yeniden kullanılmadan önce aylarca uykuda kaldı). tehdit aktörü tarafından)," diye açıklıyor Microsoft.    

Microsoft geçen yıl, saldırganların izinli kimlik avı için OAuth'u nasıl kötüye kullandıklarını ayrıntılı olarak açıkladı. OAuth uygulamalarının kötü amaçlı amaçlarla bilinen diğer kullanımları arasında komut ve kontrol (C2) iletişimi, arka kapılar, kimlik avı ve yeniden yönlendirmeler bulunur. Bir tedarik zinciri saldırısında SolarWinds'e saldıran grup Nobelium bile, daha geniş saldırıları etkinleştirmek için OAuth'u kötüye kullandı.