Kini idi ti MFA ṣe ṣe pataki: Awọn ikọlu wọnyi fa awọn akọọlẹ alabojuto kuro lẹhinna lo Exchange lati firanṣẹ àwúrúju

Microsoft ti ṣipaya ọran arekereke ti ilokulo ohun elo OAuth ti o fun laaye awọn ikọlu lati tunto olupin Exchange olupin ti olufaragba lati firanṣẹ àwúrúju.     

Ojuami ti ikọlu alaye ni lati ṣe àwúrúju pupọ - igbega gbigba gbigba iro kan - dabi pe o ti wa lati agbegbe paṣipaarọ ti o gbogun ju awọn ipilẹṣẹ gangan, eyiti o jẹ boya adiresi IP tiwọn tabi awọn iṣẹ titaja imeeli ti ẹnikẹta, ni ibamu si Microsoft . 

Ilana gbigba ni a lo lati tan awọn olugba lati pese awọn alaye kaadi kirẹditi ati iforukọsilẹ fun awọn ṣiṣe alabapin loorekoore. 

“Lakoko ti ero naa ṣee ṣe yori si awọn idiyele ti aifẹ fun awọn ibi-afẹde, ko si ẹri ti awọn irokeke aabo apejuwe gẹgẹbi aṣiri-ẹri tabi pinpin malware,” Ẹgbẹ Iwadi Olugbeja Microsoft 365 sọ.

tun: Kini, gangan, cybersecurity? Ati idi ti o ṣe pataki?

Lati jẹ ki olupin Exchange naa firanṣẹ àwúrúju wọn, awọn ikọlu kọkọ kọlu ibi-afẹde ibi-afẹde ti o ni aabo ti ko dara ti ayalegbe awọsanma ati lẹhinna ni iraye si awọn akọọlẹ olumulo ti o ni anfani lati ṣẹda awọn ohun elo OAuth irira ati anfani laarin agbegbe. OAuth apps jẹ ki awọn olumulo fun ni opin wiwọle si miiran apps, ṣugbọn awọn ikọlu nibi lo o yatọ. 

Ko si ọkan ninu awọn akọọlẹ oludari ti o ni ifọkansi ti o ni ijẹrisi ifosiwewe pupọ (MFA) ti tan, eyiti o le ti da awọn ikọlu naa duro.

“O tun ṣe pataki lati ṣe akiyesi pe gbogbo awọn admins ti o gbogun ko ni ṣiṣẹ MFA, eyiti o le ti da ikọlu naa duro. Awọn akiyesi wọnyi ṣe alekun pataki ti ifipamọ awọn akọọlẹ ati ibojuwo fun awọn olumulo ti o ni eewu giga, paapaa awọn ti o ni awọn anfani giga,” Microsoft sọ.

Ni kete ti wọn ba wọle, wọn lo Azure Active Directory (AAD) lati forukọsilẹ app naa, ṣafikun igbanilaaye fun ijẹrisi app-nikan ti ẹrọ Exchange Online PowerShell module, funni ni aṣẹ abojuto si igbanilaaye yẹn, lẹhinna fun abojuto agbaye ati awọn ipa iṣakoso paṣipaarọ si tuntun ti o forukọsilẹ app.       

"Oṣere irokeke naa ṣafikun awọn iwe-ẹri tiwọn si ohun elo OAuth, eyiti o jẹ ki wọn wọle si ohun elo paapaa ti oludari agbaye ti o kọlu lakoko yi ọrọ igbaniwọle wọn pada,” Microsoft ṣe akiyesi. 

"Awọn iṣẹ-ṣiṣe ti a mẹnuba fun iṣakoso awọn oṣere ewu ti ohun elo ti o ni anfani pupọ."

Pẹlu gbogbo eyi ni aye, awọn ikọlu naa lo ohun elo OAuth lati sopọ si module Exchange Online PowerShell ati yi awọn eto paṣipaarọ pada, ki olupin naa da àwúrúju lati awọn adirẹsi IP tiwọn ti o ni ibatan si awọn amayederun ikọlu naa. 

Lati ṣe eyi wọn lo ẹya olupin Exchange kan ti a npe ni "awọn asopọ"fun isọdi ọna ti imeeli ti n lọ si ati lati awọn ajo nipa lilo Microsoft 365/Office 365. Oṣere naa ṣẹda asopo inbound tuntun ati ṣeto mejila kan"awọn ofin gbigbe” fun Exchange Online ti o paarẹ ṣeto awọn akọle ninu àwúrúju ipa-ọna paṣipaarọ lati ṣe alekun oṣuwọn aṣeyọri ti ipolongo àwúrúju naa. Yiyọ awọn akọsori kuro gba imeeli laaye lati yago fun wiwa nipasẹ awọn ọja aabo. 

“Lẹhin ipolongo àwúrúju kọọkan, oṣere naa paarẹ asopo inbound irira ati awọn ofin gbigbe lati yago fun wiwa, lakoko ti ohun elo naa wa ni ransogun ni agbatọju naa titi di igba ti ikọlu ti atẹle (ni awọn igba miiran, app naa wa ni isinmi fun awọn oṣu ṣaaju ki o to tun lo. nipasẹ oṣere irokeke),” Microsoft ṣalaye.    

Microsoft ni ọdun to kọja ṣe alaye bii awọn ikọlu n ṣe ilokulo OAuth fun aṣiri aṣẹ. Awọn lilo miiran ti a mọ ti awọn ohun elo OAuth fun awọn idi irira pẹlu ibaraẹnisọrọ pipaṣẹ-ati-iṣakoso (C2), awọn ilẹkun ẹhin, aṣiri-ararẹ, ati awọn itọsọna. Paapaa Nobelium, ẹgbẹ ti o kọlu SolarWinds ni ikọlu pq ipese, ni ti reje OAuth lati jeki awọn ikọlu gbooro.