Zespół badawczy Microsoft 365 Defender ostrzegł użytkowników, aby mieli się na baczności przed rosnącą liczbą cyberataków wykorzystujących nadużycia Aplikacje OAuth w ramach łańcucha ataków, po zbadaniu incydentu, w którym złośliwe aplikacje OAuth zostały wdrożone na zhakowanych dzierżawcach chmury, a następnie wykorzystane do przejęcia serwerów Exchange w celu prowadzenia kampanii spamowych.
Śledztwo w sprawie ataków, które miały miejsce w różnych nieujawnionych organizacjach, ujawniło, w jaki sposób cyberprzestępca przeprowadził serię ataków polegających na upychaniu poświadczeń na konta administratorów bez uwierzytelnianie wieloskładnikowe (MFA), a następnie wykorzystał te zhakowane konta, aby uzyskać dostęp do dzierżawy chmury ofiary.
Stąd byli w stanie stworzyć złośliwą aplikację OAuth, która dodała złośliwy łącznik przychodzący do serwerów poczty e-mail organizacji. Zostało to następnie wykorzystane do prowadzenia kampanii spamowych e-mail reklamujących oszukańczą loterię podszywającą się pod tożsamość organizacji, z nagrodą Apple iPhone, która nakłoniła ofiary do zapisania się do powtarzających się płatnych subskrypcji.
„Microsoft monitoruje rosnącą popularność nadużywania aplikacji OAuth” – naukowcy napisał w powiadomieniu o ujawnieniu. „W ciągu ostatnich kilku lat Microsoft zaobserwował, że coraz więcej cyberprzestępców, w tym aktorzy państw narodowychużywali aplikacji OAuth do różnych złośliwych celów – komunikacji typu C2 (C2), backdoorów, phishingu, przekierowań i tak dalej”.
Opisany powyżej atak jest szczególnie istotny, ponieważ chociaż doprowadził do spamowej kampanii e-mailowej skierowanej do konsumentów, ukierunkował i wykorzystał najemców korporacyjnych do wykorzystania jako infrastruktury, w ten sposób ujawniając słabe punkty w postawie bezpieczeństwa organizacji, które mogły prowadzić do bardziej skutecznych ataków. takie jak oprogramowanie ransomware.
W tym przypadku organizacje pokrzywdzone mogły w pewnym stopniu obwiniać tylko siebie, ponieważ wszystkie miały wysoce niepewne zarządzanie tożsamością i dostępem postawa (IAM), w tym konta administratorów bez włączonej usługi MFA. Wykonanie tylko jednego prostego kroku polegającego na wyegzekwowaniu pomocy MFA mogło nie powstrzymać ataku polegającego na upychaniu poświadczeń, ale znacznie podniosłoby koszt ataku po stronie podmiotu zajmującego się zagrożeniem.
Inne działania, które ofiary mogły podjąć, obejmują włączenie zasad dostępu warunkowego, które są oceniane i wymuszane za każdym razem, gdy użytkownik próbuje się zalogować, oraz włączanie ciągłej oceny dostępu (CAE), która natychmiast odwołuje dostęp, jeśli zmiana warunków użytkownika napotka określone wyzwalacze.
Microsoft dodał, że domyślne ustawienia zabezpieczeń w Azure Active Directory powinny wystarczyć do ochrony wybranej przez organizację platformy tożsamości, ponieważ oferują one wstępnie skonfigurowane ustawienia, w tym obowiązkową usługę MFA.
Jake Moore, globalny doradca ds. bezpieczeństwa cybernetycznego w ESETpowiedział: “Ataki upychania poświadczeń są powszechne wśród atakujących niskiego poziomu, którzy próbują tego, co mogą, z tym, co mają do zaoferowania.
„Opiera się na tym, że atakujący przejmą czyjąś nazwę użytkownika i hasło, które wyciekły ze strony internetowej, i spróbują tej samej kombinacji na innych stronach internetowych” – powiedział. „Jeśli te kombinacje zostaną ponownie użyte i nie zostanie włączona usługa MFA, dostęp może być bardzo prosty.
„Dlatego ludzie powinni zawsze używać złożonych unikalnych haseł, które pomagają przechowywać je w menedżerach haseł wraz z MFA na wszystkich kontach”.