Microsoft Exchange comprometidos por aplicativos OAuth

30/09/2022 mindsecblog Notícias 0

Microsoft Exchange comprometidos por aplicativos OAuth maliciosos em locatários de nuvem comprometidos.

Os cibercriminosos assumiram o controle dos Exchange Servers corporativos para espalhar grandes quantidades de spam com o objetivo de inscrever pessoas em assinaturas falsas.

Os invasores estão implantando aplicativos OAuth maliciosos em locatários de nuvem comprometidos, com o objetivo de assumir o controle dos Microsoft Exchange Servers para espalhar spam.

Isso está de acordo com a equipe de pesquisa do Microsoft 365 Defender, que detalhou como os ataques de preenchimento de credenciais foram lançados contra contas de alto risco que não têm autenticação multifator (MFA) habilitada, aproveitando contas de administrador não seguras para obter acesso inicial.

Os invasores conseguiram criar um aplicativo OAuth mal-intencionado, que adicionou um conector de entrada mal-intencionado no servidor de email.

Acesso ao servidor modificado

“Essas modificações nas configurações do servidor Exchange permitiram que o agente da ameaça realizasse seu objetivo principal no ataque: enviar e-mails de spam“, observaram os pesquisadores em uma postagem no blog em 22 de setembro. E complementam dizendo que são “esquema de sorteios destinado a enganar os destinatários para se inscreverem em assinaturas pagas recorrentes.“

A equipe de pesquisa concluiu que o motivo do hacker era espalhar mensagens de spam enganosas sobre sorteios, induzindo as vítimas a entregar informações de cartão de crédito para permitir uma assinatura recorrente que lhes oferecesse “a chance de ganhar um prêmio“.

“Embora o esquema provavelmente tenha resultado em cobranças indesejadas aos alvos, não havia evidências de ameaças à segurança, como phishing de credenciais ou distribuição de malware“, observou a equipe de pesquisa.

A postagem também apontou que uma população crescente de atores mal-intencionados está implantando aplicativos OAuth para várias campanhas, desde backdoors e ataques de phishing até comunicação e redirecionamentos de comando e controle (C2).

A Microsoft recomendou a implementação de práticas de segurança como MFA que fortalecem as credenciais da conta, bem como políticas de acesso condicional e avaliação de acesso contínuo (CAE).

“Enquanto a campanha de spam subsequente tem como alvo contas de e-mail de consumidores, este ataque visa locatários corporativos para usar como infraestrutura para esta campanha“, acrescentou a equipe de pesquisa. “Este ataque expõe as fraquezas de segurança que podem ser usadas por outros agentes de ameaças em ataques que podem afetar diretamente as empresas afetadas“.

A MFA pode ajudar, mas são necessárias políticas de controle de acesso adicionais

“Embora a MFA seja um grande começo e possa ter ajudado a Microsoft neste caso, vimos nas notícias recentemente que nem todas as MFA são iguais ”, observa David Lindner, CISO da Contrast Security. “começamos com ‘o nome de usuário e a senha estão comprometidos’ e criamos controles em torno disso.”

Lindner diz que a comunidade de segurança precisa começar com algumas noções básicas e seguir o princípio de privilégio mínimo para criar políticas de controle de acesso apropriadas, orientadas para os negócios e baseadas em funções.

“Precisamos definir controles técnicos apropriados, como MFA – FIDO2 como sua melhor opção – autenticação baseada em dispositivo, tempos limite de sessão e assim por diante“, acrescenta.

Por último, as organizações precisam monitorar anomalias como “logins impossíveis” (ou seja, tentativas de login na mesma conta de, digamos, Boston e Dallas, com 20 minutos de intervalo); tentativas de força bruta; e tentativas do usuário de acessar sistemas não autorizados.

“Podemos fazer isso e podemos aumentar muito a postura de segurança de uma organização da noite para o dia, reforçando nossos mecanismos de autenticação“, diz Lindner.