Microsoft riferisce sugli attacchi analizzati allo scambio di cloud. Gli aggressori sono penetrati negli account di scambio cloud utilizzando il riempimento delle credenziali, password note da precedenti violazioni dei dati, il tutto senza autenticazione a più fattori (MFA). Quindi tutto è stato predisposto per lo spamming di massa tramite questi account.
I ricercatori Microsoft hanno recentemente indagato su un attacco in cui applicazioni Open Authorization (OAuth) dannose sono state distribuite su tenant cloud compromessi e quindi utilizzate per controllare le impostazioni di Exchange Online e diffondere spam. L'indagine ha rivelato che l'autore della minaccia ha lanciato attacchi di riempimento delle credenziali contro account ad alto rischio che non avevano l'autenticazione a più fattori (MFA) abilitata e ha sfruttato gli account amministratore non protetti per ottenere l'accesso iniziale.
L'accesso non autorizzato al tenant cloud ha consentito all'attore di creare un'applicazione abilitata per OAuth che ha aggiunto un connettore in entrata dannoso sul server di posta elettronica. L'attore ha quindi utilizzato il connettore per inviare e-mail di spam che sembravano provenire direttamente dal dominio. Anche se un amministratore modificasse successivamente la password di accesso per il suo cloud exchange, gli aggressori potrebbero continuare a inviare lo spam perché potrebbero ancora identificarsi dall'applicazione inserita con OAuth.
Crescente abuso delle applicazioni OAuth
Microsoft ha osservato la crescente popolarità dell'abuso delle applicazioni OAuth. Uno dei primi usi dannosi osservati delle applicazioni OAuth in circolazione è il phishing del consenso. Gli attacchi di phishing del consenso mirano a indurre gli utenti a concedere autorizzazioni ad app OAuth dannose per ottenere l'accesso ai servizi cloud legittimi degli utenti (server di posta, archiviazione di file, API di gestione e così via). Negli ultimi anni, Microsoft ha osservato che un numero sempre maggiore di attori delle minacce, inclusi gli attori dello stato-nazione, utilizza applicazioni OAuth per vari scopi dannosi: comunicazione di comando e controllo (C2), backdoor, phishing, reindirizzamenti e così via.
Questo recente attacco ha coinvolto una rete di applicazioni single-tenant installate in organizzazioni compromesse e utilizzate come piattaforma di identità dell'attore per eseguire l'attacco. Una volta scoperta la rete, tutte le applicazioni associate sono state chiuse e sono state inviate notifiche ai clienti, comprese le azioni correttive consigliate.
Tutti gli account abusati senza utilizzo di MFA
In un post sul blog, Microsoft mostra come ha funzionato il percorso tecnico dell'attacco, nonché la campagna di spam che ne è seguita. L'articolo fornisce inoltre indicazioni per i difensori su come proteggere le organizzazioni da questa minaccia e su come le tecnologie di sicurezza Microsoft la rilevano.
Altro su Microsoft.com
Informazioni su Microsoft Germania Microsoft Deutschland GmbH è stata fondata nel 1983 come filiale tedesca di Microsoft Corporation (Redmond, USA). Microsoft si impegna a consentire a ogni persona e ogni organizzazione del pianeta di ottenere di più. Questa sfida può essere vinta solo insieme, motivo per cui la diversità e l'inclusione sono state saldamente ancorate nella cultura aziendale sin dall'inizio. In qualità di produttore leader mondiale di soluzioni software produttive e servizi moderni nell'era del cloud intelligente e dell'edge intelligente, nonché sviluppatore di hardware innovativo, Microsoft si considera un partner per i propri clienti per aiutarli a trarre vantaggio dalla trasformazione digitale. La sicurezza e la privacy sono le massime priorità nello sviluppo di soluzioni. In qualità di principale contributore al mondo, Microsoft guida la tecnologia open source attraverso la sua piattaforma di sviluppo leader, GitHub. Con LinkedIn, la più grande rete di carriera, Microsoft promuove il networking professionale in tutto il mondo.