Microsoft, bulut alışverişinde analiz edilen saldırıları rapor ediyor. Saldırganlar, kimlik bilgilerini doldurarak, önceki veri ihlallerinden bilinen parolaları kullanarak bulut değişim hesaplarına sızdı ve bunların tümü çok faktörlü kimlik doğrulaması (MFA) olmadan gerçekleşti. Daha sonra bu hesaplar üzerinden toplu spam yapmak için her şey ayarlandı.
Microsoft araştırmacıları kısa bir süre önce, kötü amaçlı Açık Yetkilendirme (OAuth) uygulamalarının güvenliği ihlal edilmiş bulut kiracılarına dağıtıldığı ve ardından Exchange Online ayarlarını kontrol etmek ve spam yaymak için kullanıldığı bir saldırıyı araştırdı. Soruşturma, tehdit aktörünün çok faktörlü kimlik doğrulamanın (MFA) etkin olmadığı yüksek riskli hesaplara karşı kimlik bilgisi doldurma saldırıları başlattığını ve ilk erişimi elde etmek için güvenli olmayan yönetici hesaplarından yararlandığını ortaya çıkardı.
Bulut kiracısına yetkisiz erişim, aktörün e-posta sunucusuna kötü amaçlı bir gelen bağlayıcı ekleyen OAuth özellikli bir uygulama oluşturmasına olanak sağladı. Aktör daha sonra bağlayıcıyı, doğrudan etki alanından geliyormuş gibi görünen spam e-postaları göndermek için kullandı. Bir yönetici daha sonra bulut alışverişi için erişim şifresini değiştirse bile, saldırganlar OAuth ile yerleştirilen uygulamadan kendilerini tanımlayabildikleri için spam göndermeye devam edebilirler.
OAuth uygulamalarının artan kötüye kullanımı
Microsoft, OAuth uygulama kötüye kullanımının artan popülaritesini gözlemledi. OAuth uygulamalarının vahşi ortamda gözlemlenen ilk kötü amaçlı kullanımlarından biri, izinli kimlik avıdır. İzin kimlik avı saldırıları, kullanıcıların meşru bulut hizmetlerine (posta sunucuları, dosya depolama, yönetim API'leri vb.) erişim elde etmek için kullanıcıları kandırarak kötü amaçlı OAuth uygulamalarına izin vermelerini sağlamayı amaçlar. Son yıllarda Microsoft, ulus devlet aktörleri de dahil olmak üzere giderek daha fazla sayıda tehdit aktörünün OAuth uygulamalarını çeşitli kötü amaçlı amaçlar için kullandığını gözlemledi - komut ve kontrol (C2) iletişimi, arka kapılar, kimlik avı, yönlendirmeler vb.
Bu son saldırı, güvenliği ihlal edilmiş kuruluşlara kurulan ve saldırıyı gerçekleştirmek için aktörün kimlik platformu olarak kullanılan tek kiracılı uygulamalardan oluşan bir ağı içeriyordu. Ağ ortaya çıkarıldıktan sonra, ilgili tüm uygulamalar kapatıldı ve müşterilere, önerilen düzeltici eylemler de dahil olmak üzere bildirimler gönderildi.
MFA kullanımı olmayan tüm kötüye kullanılan hesaplar
Bir blog gönderisinde Microsoft, saldırının teknik yolunun nasıl çalıştığını ve ardından gelen spam kampanyasını gösteriyor. Makale ayrıca, savunuculara kuruluşların bu tehditten nasıl korunacağı ve Microsoft güvenlik teknolojilerinin bunu nasıl algılayacağı konusunda rehberlik sağlar.
Microsoft.com'da daha fazlası
Microsoft Almanya Hakkında Microsoft Deutschland GmbH, 1983 yılında Microsoft Corporation'ın (Redmond, ABD) Almanya'daki yan kuruluşu olarak kuruldu. Microsoft, gezegendeki her kişiyi ve her kuruluşu daha fazlasını başarması için güçlendirmeye kararlıdır. Bu zorluğun üstesinden ancak birlikte gelinebilir, bu nedenle çeşitlilik ve kapsayıcılık en başından beri kurum kültürüne sıkı sıkıya bağlıdır. Akıllı bulut ve akıllı uç çağında üretken yazılım çözümleri ve modern hizmetlerin dünyanın önde gelen üreticisi ve yenilikçi donanım geliştiricisi olarak Microsoft, dijital dönüşümden yararlanmalarına yardımcı olmak için müşterilerini bir ortak olarak görüyor. Çözüm geliştirirken güvenlik ve gizlilik en önemli önceliklerdir. Dünyanın en büyük katkı sağlayıcısı olan Microsoft, önde gelen geliştirici platformu GitHub aracılığıyla açık kaynak teknolojisini kullanıyor. En büyük kariyer ağı olan LinkedIn ile Microsoft, dünya çapında profesyonel ağ oluşturmayı destekler.