چرا MFA اهمیت دارد: این مهاجمان حساب‌های مدیریت را کرک کرده و سپس از Exchange برای ارسال هرزنامه استفاده کردند


زن-ناراحت-لپ تاپ-istock.jpg

تصویر: Getty Images/iStockphoto

مایکروسافت یک مورد حیله گر سوء استفاده از برنامه OAuth را افشا کرده است که به مهاجمان اجازه می دهد سرور Exchange قربانی را برای ارسال هرزنامه پیکربندی مجدد کنند.

به گفته مایکروسافت، هدف این حمله مفصل این بود که هرزنامه‌های انبوه – ترویج یک قرعه‌کشی جعلی – به نظر برسد که از دامنه آسیب‌دیده Exchange سرچشمه می‌گیرد و نه منشأ واقعی، که آدرس IP خودشان یا خدمات بازاریابی ایمیل شخص ثالث بود. .

ترفند قرعه کشی برای فریب گیرندگان برای ارائه جزئیات کارت اعتباری و ثبت نام برای اشتراک های تکراری استفاده شد.

تیم تحقیقاتی Microsoft 365 Defender گفت: «در حالی که این طرح احتمالاً منجر به هزینه‌های ناخواسته برای اهداف می‌شود، هیچ شواهدی مبنی بر تهدیدهای امنیتی آشکار مانند فیشینگ اعتبار یا توزیع بدافزار وجود ندارد.»

همچنین: امنیت سایبری دقیقاً چیست؟ و آن چرا اهمیت دارد؟

برای اینکه سرور Exchange هرزنامه‌های خود را ارسال کند، مهاجمان ابتدا مستاجر ابری هدف را که ضعیف محافظت شده بود، به خطر انداختند و سپس به حساب‌های کاربری ممتاز برای ایجاد برنامه‌های OAuth مخرب و دارای امتیاز در محیط دسترسی پیدا کردند. برنامه‌های OAuth به کاربران اجازه دسترسی محدود به برنامه‌های دیگر را می‌دهند، اما مهاجمان در اینجا به‌طور متفاوتی از آن استفاده کردند.

هیچ یک از حساب‌های سرپرستی که هدف قرار گرفتند، احراز هویت چند عاملی (MFA) را روشن نکردند که می‌توانست حملات را متوقف کند.

مایکروسافت همچنین گفت: “همچنین مهم است که توجه داشته باشید که همه ادمین‌های در معرض خطر MFA را فعال نکرده بودند، که می‌توانست حمله را متوقف کند. این مشاهدات اهمیت امنیت حساب‌ها و نظارت را برای کاربران پرخطر، به ویژه آنهایی که امتیازات بالایی دارند، تقویت می‌کند.” گفت.

هنگامی که وارد شدند، از Azure Active Directory (AAD) برای ثبت برنامه استفاده کردند، مجوزی برای تأیید اعتبار فقط برنامه ماژول Exchange Online PowerShell اضافه کردند، رضایت مدیر را با آن مجوز صادر کردند، و سپس نقش‌های مدیر جهانی و مدیر Exchange را به افرادی که به تازگی ثبت نام کرده بودند، دادند. برنامه

مایکروسافت خاطرنشان می‌کند: «بازیگر تهدید اعتبار خود را به برنامه OAuth اضافه کرد، که به آنها امکان می‌داد حتی اگر مدیر جهانی که در ابتدا رمز عبور آنها را تغییر داده بود، به برنامه دسترسی داشته باشند.

“فعالیت های ذکر شده به عامل تهدید یک برنامه بسیار ممتاز را کنترل کرد.”

با همه این موارد، مهاجمان از برنامه OAuth برای اتصال به ماژول Exchange Online PowerShell و تغییر تنظیمات Exchange استفاده کردند، به طوری که سرور هرزنامه ها را از آدرس های IP خود مربوط به زیرساخت مهاجم هدایت می کند.

fig1-attack-chain.png

منبع: مایکروسافت

برای انجام این کار از یک ویژگی سرور Exchange به نام ” استفاده کردند.اتصال دهنده ها“برای سفارشی کردن نحوه جریان ایمیل به و از سازمان ها با استفاده از Microsoft 365/Office 365. این بازیگر یک رابط ورودی جدید ایجاد کرد و ده ها را راه اندازی کرد”قوانین حمل و نقلبرای Exchange Online که مجموعه‌ای از سرصفحه‌ها را در هرزنامه مسیریابی شده توسط Exchange حذف کرد تا میزان موفقیت کمپین هرزنامه را افزایش دهد. حذف سرصفحه‌ها به ایمیل اجازه می‌دهد تا از شناسایی توسط محصولات امنیتی جلوگیری کند.

«بعد از هر کمپین هرزنامه، بازیگر برای جلوگیری از شناسایی، کانکتور ورودی مخرب و قوانین حمل و نقل را حذف می‌کند، در حالی که برنامه تا موج بعدی حمله در مستاجر باقی می‌ماند (در برخی موارد، برنامه برای ماه‌ها غیرفعال بود قبل از استفاده مجدد. توسط عامل تهدید)،” مایکروسافت توضیح می دهد.

مایکروسافت سال گذشته توضیح داد که چگونه مهاجمان از OAuth برای فیشینگ رضایت سوء استفاده می کنند. سایر کاربردهای شناخته شده برنامه های OAuth برای اهداف مخرب عبارتند از: ارتباطات فرمان و کنترل (C2)، درهای پشتی، فیشینگ و تغییر مسیرها. حتی Nobelium، گروهی که در یک حمله زنجیره تامین به SolarWinds حمله کرد، این کار را انجام داده است از OAuth برای فعال کردن حملات گسترده تر سوء استفاده کرد.


منبع: https://www.zdnet.com/article/why-mfa-matters-these-attackers-cracked-admin-accounts-then-used-exchange-to-send-spam/#ftag=RSSbaffb68