Redactie - 23 september 2022

Microsoft Exchange servers doelwit van schadelijke OAuth toepassingen

Microsoft Exchange servers doelwit van schadelijke OAuth toepassingen image

Microsoft-onderzoekers hebben onlangs een aanval onderzocht waarbij kwaadaardige OAuth-applicaties werden ingezet op gecompromitteerde cloud-tenants en vervolgens werden gebruikt om Exchange-servers te controleren en spam te verspreiden.

Uit het onderzoek bleek dat de dreigingsactor aanvallen met credential stuffing lanceerde tegen accounts met een hoog risico die geen multi-factor authenticatie (MFA) hadden ingeschakeld en de onbeveiligde beheerdersaccounts gebruikten om de eerste toegang te krijgen. Door de ongeautoriseerde toegang tot de cloudtenant kon de actor een schadelijke OAuth-toepassing maken die een schadelijke inkomende connector aan de e-mailserver toevoegde. De acteur gebruikte vervolgens de kwaadaardige inkomende connector om spam-e-mails te verzenden die eruitzagen alsof ze afkomstig waren van het domein van het doelwit.

Microsoft houdt de stijgende populariteit van misbruik van OAuth-toepassingen in de gaten. Een van de eerste waargenomen kwaadwillig gebruik van OAuth-toepassingen in het wild is phishing met toestemming . Phishing-aanvallen met toestemming zijn bedoeld om gebruikers te misleiden om machtigingen te verlenen aan kwaadaardige OAuth-apps om toegang te krijgen tot legitieme cloudservices van gebruikers (mailservers, bestandsopslag, beheer-API's, enz.). In de afgelopen jaren heeft Microsoft vastgesteld dat steeds meer dreigingsactoren, waaronder actoren van de nationale overheid , OAuth-toepassingen gebruiken voor verschillende kwaadaardige doeleinden: command-and-control (C2) communicatie, achterdeurtjes, phishing, omleidingen, enzovoort. Aan.

Deze recente aanval omvatte een netwerk van single-tenant applicaties die waren geïnstalleerd in gecompromitteerde organisaties die werden gebruikt als het identiteitsplatform van de actor om de aanval uit te voeren. Zodra het netwerk werd onthuld, werden alle gerelateerde applicaties verwijderd en werden meldingen naar klanten verzonden, inclusief aanbevolen herstelstappen.

In een blog van Microsoft staat een technische analyse van deze aanvalsvector en de daaropvolgende spamcampagne die is geprobeerd door de dreigingsactor. Het biedt ook richtlijnen voor verdedigers over het beschermen van organisaties tegen deze dreiging en hoe Microsoft-beveiligingstechnologieën deze detecteren.

Copaco | BW 25 maart tm 31 maart 2024 Trend Micro BW BN week 10-11-13-14-2024
Copaco | BW 25 maart tm 31 maart 2024