Saldırganlar, istenmeyen postaları yaymak için Microsoft Exchange Sunucularını ele geçirmek amacıyla, güvenliği ihlal edilmiş bulut kiracılarına kötü amaçlı OAuth uygulamaları dağıtıyor.
Bu, bu hafta çok faktörlü kimlik doğrulaması (MFA) etkin olmayan yüksek riskli hesaplara karşı kimlik bilgisi doldurma saldırılarının nasıl başlatıldığını ve ardından ilk erişim elde etmek için güvenli olmayan yönetici hesaplarından nasıl yararlanıldığını ayrıntılandıran Microsoft 365 Defender Araştırma Ekibi’ne göre.
Saldırganlar daha sonra e-posta sunucusuna kötü niyetli bir gelen bağlayıcı ekleyen kötü amaçlı bir OAuth uygulaması oluşturabildiler.
Değiştirilmiş Sunucu Erişimi
Araştırmacılar, “Exchange sunucusu ayarlarında yapılan bu değişiklikler, tehdit aktörünün saldırıdaki birincil amacını gerçekleştirmesine izin verdi: spam e-postalar göndermek” bir blog gönderisinde 22 Eylül’de. “Spam e-postalar, alıcıları tekrarlayan ücretli aboneliklere kaydolmaları için kandırmayı amaçlayan aldatıcı bir çekiliş planının parçası olarak gönderildi.”
Araştırma ekibi, bilgisayar korsanının amacının, çekilişler hakkında yanıltıcı spam mesajları yaymak ve kurbanları kredi kartı bilgilerini teslim etmeye teşvik etmek ve onlara “ödül kazanma şansı” sunacak yinelenen bir abonelik sağlamak olduğu sonucuna vardı.
Araştırma ekibi, “Plan muhtemelen hedeflere istenmeyen suçlamalarla sonuçlansa da, kimlik bilgisi avı veya kötü amaçlı yazılım dağıtımı gibi açık güvenlik tehditlerine dair hiçbir kanıt yoktu” dedi.
Gönderi ayrıca, artan sayıda kötü niyetli aktör popülasyonunun, arka kapılardan ve kimlik avı saldırılarından komuta ve kontrol (C2) iletişim ve yönlendirmelerine kadar çeşitli kampanyalar için OAuth uygulamalarını dağıttığına dikkat çekti.
Microsoft, hesap kimlik bilgilerini güçlendiren MFA gibi güvenlik uygulamalarının yanı sıra koşullu erişim ilkeleri ve sürekli erişim değerlendirmesinin (CAE) uygulanmasını önerdi.
Araştırma ekibi, “Takip eden spam kampanyası tüketici e-posta hesaplarını hedeflerken, bu saldırı kurumsal kiracıları bu kampanya için altyapı olarak kullanmayı hedefliyor” dedi. “Bu saldırı, diğer tehdit aktörleri tarafından etkilenen işletmeleri doğrudan etkileyebilecek saldırılarda kullanılabilecek güvenlik zayıflıklarını ortaya koyuyor.”
MFA Yardımcı Olabilir, ancak Ek Erişim Denetimi İlkeleri Gereklidir
Contrast Security CISO’su David Lindner, “MFA harika bir başlangıç ve bu durumda Microsoft’a yardımcı olabilirdi, ancak son zamanlarda haberlerde tüm MFA’ların aynı olmadığını gördük” diyor. “Bir güvenlik kuruluşu olarak, zamanı geldi. ‘kullanıcı adı ve şifrenin güvenliği ihlal edildi’ ile başlıyoruz ve bunun etrafında kontroller oluşturuyoruz.”
Lindner, güvenlik topluluğunun uygun, iş odaklı, rol tabanlı erişim kontrol politikaları oluşturmak için bazı temel bilgilerle başlaması ve en az ayrıcalık ilkesini izlemesi gerektiğini söylüyor.
“En iyi seçeneğiniz olarak MFA – FIDO2 gibi uygun teknik kontrolleri – cihaz tabanlı kimlik doğrulama, oturum zaman aşımları vb. – ayarlamamız gerekiyor” diye ekliyor.
Son olarak, kuruluşların “imkansız oturum açma” (örneğin, Boston ve Dallas’tan 20 dakika arayla aynı hesaba yapılan oturum açma girişimleri) gibi anormallikleri izlemesi gerekir; kaba kuvvet girişimleri; ve kullanıcı yetkisiz sistemlere erişmeye çalışır.
Lindner, “Bunu yapabiliriz ve kimlik doğrulama mekanizmalarımızı sıkılaştırarak bir gecede bir kuruluşun güvenlik duruşunu büyük ölçüde artırabiliriz” diyor.
