Tại sao MFA lại quan trọng: Những kẻ tấn công này đã bẻ khóa tài khoản quản trị viên sau đó sử dụng Exchange để gửi thư rác

phụ nữ-khó chịu-máy tính xách tay-istock.jpg

Hình ảnh: Hình ảnh Getty / iStockphoto

Microsoft đã vạch trần một trường hợp xảo quyệt lạm dụng ứng dụng OAuth cho phép những kẻ tấn công định cấu hình lại máy chủ Exchange của nạn nhân để gửi thư rác.     

Theo Microsoft . 

Thủ đoạn rút thăm trúng thưởng được sử dụng để lừa người nhận cung cấp chi tiết thẻ tín dụng và đăng ký các gói đăng ký định kỳ. 

“Mặc dù kế hoạch có thể dẫn đến các khoản phí không mong muốn cho các mục tiêu, nhưng không có bằng chứng về các mối đe dọa bảo mật công khai như lừa đảo thông tin xác thực hoặc phân phối phần mềm độc hại,” Nhóm nghiên cứu Microsoft 365 Defender cho biết.

Ngoài ra: Chính xác thì an ninh mạng là gì? Và tại sao nó lại là vấn đề?

Để khiến máy chủ Exchange gửi thư rác, những kẻ tấn công trước tiên đã xâm nhập đối tượng thuê đám mây được bảo vệ kém của mục tiêu, sau đó giành quyền truy cập vào tài khoản người dùng đặc quyền để tạo các ứng dụng OAuth độc hại và có đặc quyền trong môi trường. OAuth apps cho phép người dùng cấp quyền truy cập hạn chế cho người khác apps, nhưng những kẻ tấn công ở đây đã sử dụng nó theo cách khác. 

Không có tài khoản quản trị viên nào bị nhắm mục tiêu đã bật xác thực đa yếu tố (MFA), điều này có thể đã ngăn chặn các cuộc tấn công.

“Điều quan trọng cần lưu ý là tất cả các quản trị viên bị xâm phạm đều không được kích hoạt MFA, điều này có thể đã dừng cuộc tấn công. Những quan sát này khuếch đại tầm quan trọng của việc bảo mật tài khoản và giám sát đối với những người dùng có nguy cơ cao, đặc biệt là những người có đặc quyền cao, ”Microsoft cho biết.

Khi vào bên trong, họ sử dụng Azure Active Directory (AAD) để đăng ký ứng dụng, thêm quyền xác thực chỉ ứng dụng của mô-đun Exchange Online PowerShell, cấp sự đồng ý của quản trị viên đối với quyền đó, sau đó trao vai trò quản trị viên toàn cầu và quản trị viên Exchange cho người mới đăng ký ứng dụng.       

“Kẻ đe dọa đã thêm thông tin đăng nhập của riêng họ vào ứng dụng OAuth, cho phép họ truy cập ứng dụng ngay cả khi quản trị viên toàn cầu bị xâm phạm ban đầu đã thay đổi mật khẩu của họ,” Microsoft lưu ý. 

"Các hoạt động được đề cập đã cho phép tác nhân đe dọa kiểm soát một ứng dụng có đặc quyền cao."

Với tất cả những điều này, những kẻ tấn công đã sử dụng ứng dụng OAuth để kết nối với mô-đun Exchange Online PowerShell và thay đổi cài đặt Exchange, để máy chủ định tuyến thư rác từ địa chỉ IP của chính chúng liên quan đến cơ sở hạ tầng của kẻ tấn công. 

fig1-tấn công-chain.png

Nguồn: Microsoft

Để làm điều này, họ đã sử dụng một tính năng của máy chủ Exchange có tên là “kết nối”Để tùy chỉnh cách gửi email đến và đi từ các tổ chức sử dụng Microsoft 365 / Office 365. Diễn viên đã tạo một trình kết nối gửi đến mới và thiết lập một tá“luật giao thông”Cho Exchange Online đã xóa một tập hợp các tiêu đề trong thư rác do Exchange định tuyến để tăng tỷ lệ thành công của chiến dịch thư rác. Xóa tiêu đề cho phép email tránh bị các sản phẩm bảo mật phát hiện. 

“Sau mỗi chiến dịch spam, tác nhân đã xóa trình kết nối gửi đến độc hại và các quy tắc vận chuyển để ngăn bị phát hiện, trong khi ứng dụng vẫn được triển khai trong đối tượng thuê cho đến khi đợt tấn công tiếp theo (trong một số trường hợp, ứng dụng không hoạt động trong nhiều tháng trước khi được sử dụng lại bởi tác nhân đe dọa), ”Microsoft giải thích.    

Năm ngoái, Microsoft đã nêu chi tiết cách những kẻ tấn công lạm dụng OAuth để lừa đảo lấy sự đồng ý. Các cách sử dụng ứng dụng OAuth đã biết khác cho các mục đích xấu bao gồm giao tiếp lệnh và kiểm soát (C2), cửa hậu, lừa đảo và chuyển hướng. Ngay cả Nobelium, nhóm đã tấn công SolarWinds trong một cuộc tấn công chuỗi cung ứng, đã lạm dụng OAuth để kích hoạt các cuộc tấn công rộng hơn

nguồn