A Microsoft relata ataques analisados na troca de nuvem. Os invasores penetraram nas contas do Cloud Exchange usando preenchimento de credenciais, senhas conhecidas de violações de dados anteriores – tudo sem autenticação multifator (MFA). Então tudo foi configurado para spam em massa por meio dessas contas.
Pesquisadores da Microsoft investigaram recentemente um ataque no qual aplicativos maliciosos de Open Authorization (OAuth) foram implantados em inquilinos de nuvem comprometidos e, em seguida, usados para controlar as configurações do Exchange Online e espalhar spam. A investigação revelou que o agente da ameaça lançou ataques de preenchimento de credenciais contra contas de alto risco que não tinham autenticação multifator (MFA) habilitada e aproveitou as contas de administrador não seguras para obter acesso inicial.
O acesso não autorizado ao locatário da nuvem permitiu que o ator criasse um aplicativo habilitado para OAuth que adicionasse um conector de entrada malicioso no servidor de e-mail. O ator então usou o conector para enviar e-mails de spam que pareciam vir diretamente do domínio. Mesmo que um administrador altere posteriormente a senha de acesso para sua troca de nuvem, os invasores podem continuar enviando o spam porque ainda podem se identificar no aplicativo colocado com OAuth.
Aumento do abuso de aplicativos OAuth
A Microsoft observou o aumento da popularidade do abuso de aplicativos OAuth. Um dos primeiros usos maliciosos observados de aplicativos OAuth em estado selvagem é o phishing de consentimento. Os ataques de phishing de consentimento visam induzir os usuários a conceder permissões a aplicativos OAuth maliciosos para obter acesso aos serviços de nuvem legítimos dos usuários (servidores de e-mail, armazenamento de arquivos, APIs de gerenciamento etc.). Nos últimos anos, a Microsoft observou que cada vez mais agentes de ameaças, incluindo agentes de estado-nação, estão usando aplicativos OAuth para vários fins maliciosos – comunicação de comando e controle (C2), backdoors, phishing, redirecionamentos e assim por diante.
Esse ataque recente envolveu uma rede de aplicativos de locatário único instalados em organizações comprometidas e usados como a plataforma de identidade do ator para realizar o ataque. Assim que a rede foi descoberta, todos os aplicativos associados foram desligados e notificações foram enviadas aos clientes, incluindo ações corretivas recomendadas.
Todas as contas abusadas sem uso de MFA
Em uma postagem no blog, a Microsoft mostra como funcionou o caminho técnico do ataque, bem como a campanha de spam que se seguiu. O artigo também fornece orientação para os defensores sobre como proteger as organizações contra essa ameaça e como as tecnologias de segurança da Microsoft a detectam.
Mais em Microsoft.com
Sobre a Microsoft Alemanha A Microsoft Deutschland GmbH foi fundada em 1983 como subsidiária alemã da Microsoft Corporation (Redmond, EUA). A Microsoft está empenhada em capacitar cada pessoa e cada organização do planeta para alcançar mais. Esse desafio só pode ser superado em conjunto, por isso a diversidade e a inclusão estão firmemente ancoradas na cultura corporativa desde o início. Como fabricante líder mundial de soluções produtivas de software e serviços modernos na era da nuvem inteligente e borda inteligente, bem como desenvolvedora de hardware inovador, a Microsoft se vê como parceira de seus clientes para ajudá-los a se beneficiar da transformação digital. Segurança e privacidade são prioridades no desenvolvimento de soluções. Como o maior colaborador do mundo, a Microsoft impulsiona a tecnologia de código aberto por meio de sua plataforma de desenvolvimento líder, o GitHub. Com o LinkedIn, a maior rede de carreiras, a Microsoft promove o networking profissional em todo o mundo.