Microsoft, e -posta çalmak için kuruluşların bulut ortamlarını ihlal eden kötü amaçlı OAuth uygulamaları oluşturmak için birden fazla hileli, doğrulanmış Microsoft Ortak Ağ hesaplarını devre dışı bıraktı.
Microsoft ve Proofpoint arasındaki ortak bir açıklamada Microsoft, tehdit aktörlerinin meşru şirketler olarak MCPP'de (Microsoft Cloud Ortak Programı) kaydolmaları ve başarıyla doğrulanması için sorumlu olduklarını söylüyor.
Tehdit oyuncusu bu hesapları, İngiltere ve İrlanda'daki kurumsal kullanıcıları hedefleyen rıza kimlik avı saldırıları için Azure AD'de doğrulanmış OAuth uygulamalarını kaydetmek için kullandı.
Microsoft, kötü amaçlı OAuth uygulamalarının müşterilerin e -postalarını çalmak için kullanıldığını söylüyor. Ancak Proofpoint, uygulamanın izinlerinin takvimlere erişmelerine ve bilgileri karşılamalarına ve kullanıcı izinlerini değiştirmelerine izin verebileceği konusunda uyardı.
Tipik olarak, bu bilgiler Siber Tesisat, BEC (iş e -posta uzlaşması) saldırıları veya dahili ağlara daha fazla erişim elde etmek için kullanılır.
Proofpoint, 15 Aralık 2022'de kötü amaçlı kampanyayı açıkladı ve Microsoft yakında tüm hileli hesapları ve OAuth uygulamalarını kapattı.
"Microsoft, müşterileri korumak için tehdit aktöre ait uygulamaları ve hesapları devre dışı bıraktı ve dijital suç birimimizi bu özel tehdit oyuncusu ile gerçekleştirilebilecek daha fazla eylemi belirlemek için dahil etti."
Diyerek şöyle devam etti: "MCPP veterinerlik sürecini iyileştirmek ve gelecekte benzer hileli davranış riskini azaltmak için birkaç ek güvenlik önlemi uyguladık."
Microsoft, etkilenen tüm kuruluşlarla temasa geçti ve şüpheli uygulamaların çevrelerinden devre dışı bırakıldığını doğrulamak için kapsamlı bir iç soruşturma yapmaları gerektiği konusunda uyardı.
BleepingComputer, saldırılar ve MCPP veterinerlik sürecini nasıl geliştirdikleri hakkında daha fazla bilgi edinmek için Microsoft ile temasa geçti, ancak bir yanıt hemen mevcut değildi.
OAuth uygulamaları, üçüncü taraf uygulamalarının, takvim olayları oluşturmak veya kötü amaçlı yazılım için e-postaların tarama gibi belirli bir işlemi gerçekleştirmek için bir kullanıcının bulut hesabındaki verilere erişme izni almasına izin verir.
Bir kullanıcının kimlik bilgileriyle bir OAuth uygulamasına giriş yapmak yerine, Azure AD'ye kaydedilir ve bir kullanıcının hesabından talep edilen izin verilebilir. Bu izinler, gerekirse bir kullanıcının kimlik bilgilerini değiştirmeden kolayca iptal edilebilir.
Son birkaç yıldır, kötü niyetli tehdit aktörleri, hedeflenen kuruluşların ofisi 365 ve Microsoft 365 bulut verilerine erişmek için 'onay kimlik avı' saldırılarında OAuth uygulamalarını kullandı.
Müşterileri daha da korumak için Microsoft, geliştiricilerin doğrulanmış yayıncılar olmasına izin veriyor, yani Microsoft kimliklerini doğruladı.
Doğrulanmış bir iş ortağının yarattığı OAuth uygulamaları, Azure Active Directory (Azure AD) onay isteminde mavi bir çeke sahiptir, bu da bu uygulamanın daha güvenilir olduğunu gösterir.
Bugün yayınlanan bir prova noktası raporuna göre, araştırmacılar tehdit aktörlerinin mevcut Microsoft tarafından doğrulanmış yayıncı hesaplarından ödün vermeye çalışmaktan ve bunun yerine güvenilir yayıncıları kendileri doğrulamak için taklit ettiklerini açıkladılar.
Tehdit oyuncusu, mevcut bir doğrulanmış yayıncıya benzer bir görüntü adını kullanarak diğer şirketleri taklit etti, ancak Microsoft ile yeniden doğrulamayı gerektirecek değişen "doğrulanmış yayıncı" adını gizledi.
Ayrıca, uygulamalarına ve kimliklerine daha fazla meşruiyet eklemek için meşru şirketin "Hizmet Şartları" ve "Politika Beyanı" web sayfalarıyla da bağlantılıdırlar.
Proofpoint, hepsi aynı kuruluşları hedefleyen ve aynı saldırgan kontrollü altyapı ile iletişim kuran üç doğrulanmış yayıncıdan üç kötü amaçlı OAuth uygulamasını tanımladı.
"Analizimize göre, bu kampanyanın esas olarak İngiltere merkezli kuruluşları ve kullanıcıları hedeflediği görülmüştür. Etkilenen kullanıcılar arasında finans ve pazarlama personeli ve yöneticiler ve yöneticiler gibi yüksek profilli kullanıcılar vardı."
Uygulamalardan ikisine "Tek Oturum Açma (SSO) ve üçüncüsü" Toplantı "olarak adlandırıldı ve aşağıdaki izinlere erişim istedi:
Ne yazık ki, Proofpoint, saldırılardan etkilenen birden fazla kullanıcının kanıtını gördü ve bu da kuruluşlarının uzlaşmasına neden oldu.
Kampanya, Microsoft'un tüm kötü amaçlı uygulamaları devre dışı bıraktığı 6 Aralık 2022 ve 27 Aralık 2022 arasında yayıldı. Saldırı ile ilgili soruşturma devam ediyor.
Ocak 2022'de, Tehdit Oyuncuları, şirket yöneticilerini hedefledikleri güvenilir OAuth uygulamaları oluşturmak için daha önce doğrulanmış yayıncı hesaplarını kötüye kullandığı Proofpoint tarafından keşfedilen benzer bir kampanyayı ele aldık.
Microsoft, kullanıcıların kendilerini bu saldırılara karşı nasıl koruyabilecekleri ve bunları önlemek için önerilen uygulamalara nasıl koruyabilecekleri hakkında ayrıntılı bir rehber yayınladı.
WAN yönlendirici IP değişikliğinin neden olduğu büyük Microsoft 365 kesinti
Saldırganlar 'harici gönderen' e -posta uyarılarını HTML ve CSS ile gizleyebilir
Microsoft, bir gün erken Windows 10 lisansını satmayı durdurur
Microsoft: 100'den fazla tehdit aktörü saldırılarda fidye yazılımı dağıtıyor
Microsoft Edge bölünmüş ekran modu alıyor - işte nasıl etkinleştirilecek
Kaynak: Bleeping Computer