Microsoft Exchange sunucularının güvenliğini aşmak için kullanılan kötü amaçlı OAuth uygulamaları



Microsoft Corp. araştırmacıları bugün detaylı Exchange sunucularını kontrol etmek ve spam yaymak için güvenliği ihlal edilmiş bulut kiracılarına dağıtılan kötü amaçlı OAuth uygulamalarını içeren yakın tarihli bir saldırı.

Tehdit aktörü, çok faktörlü kimlik doğrulamanın etkin olmadığı yüksek riskli hesaplara karşı kimlik bilgisi doldurma saldırıları başlattı ve ardından ilk erişim elde etmek için güvenli olmayan yönetici hesaplarından yararlandı. Bu erişimle, saldırgan daha sonra e-posta sunucusuna gelen bir bağlayıcı ekleyen ve aktörün hedefin etki alanından spam e-postalar göndermesine izin veren kötü amaçlı bir OAuth uygulaması oluşturdu.

Exchange sunucularına yapılan saldırılar pek yeni sayılmaz, ancak araştırmacılar, OAuth uygulamasının kötüye kullanımının artan popülaritesini gösterdiği için bu vakanın ilgi çekici olduğunu açıklıyor. OAuth kötüye kullanımının önceki örnekleri arasında, kullanıcıları kötü niyetli OAuth uygulamalarına bulut hizmetlerine erişim elde etmek için izin vermeleri için kandıran “izinli kimlik avı” dahildir. Devlet destekli aktörlerin komuta ve kontrol iletişimi, arka kapılar, kimlik avı ve yönlendirmeler için OAuth uygulamalarını kullandığı başka saldırılar da var.

Yeni saldırı, saldırıyı gerçekleştirmek için oyuncunun kimlik platformu olarak kullanılan, güvenliği ihlal edilmiş bir kuruluşa yüklenen tek kiracılı uygulamalardan oluşan bir ağı içeriyordu. Saldırı ortaya çıkar çıkmaz ilgili tüm uygulamalar kaldırıldı, müşteriler bilgilendirildi ve iyileştirme adımları atıldı.

Bu durumda saldırgan, kimlik avı e-postalarını zorlayan kampanyalarla bağlantılıdır. Bu saldırıda, güvenliği ihlal edilmiş sunucular, alıcıları yinelenen ücretli aboneliklere kaydolmaları için kandırmayı amaçlayan sahte bir çekiliş planının parçası olarak e-postalar gönderdi.

Vaka aynı zamanda kuruluşların bu tür saldırıları önlemek için güvenlik uygulamalarına olan ihtiyacının altını çiziyor. Araştırmacılar, saldırının diğer tehdit aktörlerinin de kullanabileceği güvenlik zayıflıklarını ortaya çıkardığını açıkladı.

İlk saldırı vektörü yönetici kimlik bilgilerini almak olduğundan, araştırmacılar kuruluşların 2FA uygulayarak, koşullu erişim politikalarını etkinleştirerek ve sürekli erişim değerlendirmesi uygulayarak kimlik bilgisi tahmini saldırı risklerini azaltmalarını tavsiye ediyor. İkincisi, bir kullanıcının sonlandırılması veya güvenilmeyen bir konuma taşınması gibi, kullanıcı koşullarındaki değişiklikler riskleri tetiklediğinde erişimi gerçek zamanlı olarak iptal eder.

Kuruluşların ayrıca, MFA ve ayrıcalıklı etkinliklere karşı koruma dahil olmak üzere önceden yapılandırılmış ayarlarla kurumsal kimlik platformunu koruyan Azure AD gibi güvenlik varsayılanlarını etkinleştirmeleri önerilir.

MFA’nın uygulanması, araştırmacıların tavsiyelerinin başında gelmesine rağmen, uygulama güvenliği yazılımı şirketinde bilgi güvenliği şefi David Lindner Kontrast Güvenlik A.Ş.SiliconANGLE’a, MFA’nın bu durumda yardımcı olabilmiş olsa bile, tüm MFA’ların aynı olmadığını söyledi.

Lindner, “Bir güvenlik kuruluşu olarak, ‘kullanıcı adı ve parola ele geçirildi’ ile başlamamızın ve bunun etrafında kontroller oluşturmamızın zamanı geldi” dedi. “Bazı temel bilgilerle başlamamız ve en az ayrıcalık ilkesini izlememiz ve uygun, iş odaklı rol tabanlı erişim kontrol politikaları oluşturmamız gerekiyor.”

Lindner, kuruluşların MFA, cihaz tabanlı kimlik doğrulama ve oturum zaman aşımları gibi uygun teknik kontrolleri ayarlaması gerektiğini de sözlerine ekledi. Ayrıca, “imkansız oturum açma, kaba kuvvet girişimleri ve yetkisiz sistemlere erişim girişimleri gibi anormallikleri izlememiz gerekiyor” dedi.

Resim: Microsoft

Uzmanlardan oluşan Cube Club ve Cube Event Topluluğumuza katılarak misyonumuza desteğinizi gösterin. Amazon Web Servisleri ve Amazon.com CEO’su Andy Jassy, ​​Dell Technologies’in kurucusu ve CEO’su Michael Dell, Intel CEO’su Pat Gelsinger ve daha birçok aydınlatıcı ve uzmanı içeren topluluğa katılın.



Kaynak : https://siliconangle.com/2022/09/22/malicious-oauth-applications-used-compromise-microsoft-exchange-servers/

Yorum yapın