Birçok yetkili ve şirket Microsoft ürünlerini kullanıyor, özellikle ekiplerle birlikte Microsoft Office ürün yelpazesi bulut sürümünde de çok popüler. Proofpoint'in güvenlik uzmanlarının geçmişte gösterdiği gibi, bu bulut geçişi, kimlik avı, çalınan oturum açma bilgileri ve kimlikler gibi yeni siber riskleri beraberinde getiriyor.
Saldırganlar şu anda giderek daha fazla bulut ortamlarını ve hizmetlerini hedefliyor ve mevcut güvenlik açıklarından ve güvenlik açıklarından kendi amaçları için yararlanmaya çalışıyor. Son aylarda ve yıllarda siber suçlular saldırılar için Microsoft hizmetlerini kullandılar ve örneğin güvenlik önlemlerini atlayarak Microsoft Sway'i etkili bir şekilde silah olarak kullandılar.
Birçok Microsoft uygulaması saldırı altında
🔎 2022'nin ikinci yarısında Microsoft'tan en çok saldırıya uğrayan on oturum açma uygulaması (Resim: Proofpoint).
Sway, siber suçlular tarafından kötüye kullanılan tek Microsoft uygulaması değildir. Proofpoint güvenlik araştırmacıları kısa bir süre önce, 450'nin ikinci yarısında Microsoft 2022 bulut kiracılarını hedef alan 365 milyondan fazla saldırıyı analiz etti. Analiz sonuçlarına göre Microsoft Teams, en çok saldırıya uğrayan ilk on uygulama arasında yer alıyor. Saldırıya uğrayan kuruluşların neredeyse yüzde 40'ında en az bir yetkisiz oturum açma girişimi oldu.
Proofpoint'in Microsoft uygulama Ekiplerine daha yakından bakması için yeterli sebep. Uzmanlar, araştırmaları sırasında siber suçluların M365 kimlik bilgilerini ele geçirmek, tehlikeli yürütülebilir dosyaları dağıtmak ve güvenliği ihlal edilmiş bir bulut ortamında erişimlerini yaymak için etkili bir şekilde kullandıkları birden fazla Microsoft Teams kötüye kullanma yöntemini ortaya çıkardı. Bu taktikler şunları içerir:
- E-dolandırıcılık yapmak veya kötü amaçlı yazılımları dağıtmak için sekmelerin kullanımı da dahil olmak üzere hesap sonrası uzlaşma kimliğine bürünme ve manipülasyon teknikleri.
- Standart URL'leri kötü amaçlı bağlantılarla değiştirerek toplantı davetlerini kötüye kullanmak.
- Mevcut URL'leri kötü amaçlı bağlantılarla değiştirerek mesajları kötüye kullanma.
Proofpoint tarafından incelenen saldırı yöntemleri, güvenliği ihlal edilmiş bir kullanıcı hesabına veya ekip belirtecine erişim gerektirir. 2022'ye kadar, M60 abonelerinin yaklaşık yüzde 365'ı en az bir başarılı hesap devralma işlemine sahip olacak. Sonuç olarak, ekiplerin yeteneklerine dayalı saldırganların bir uzlaşmanın ardından yanal olarak kurban sistemlerine geçme potansiyeli vardır.
M365 aboneleri: hesapların yüzde 60'ı kırıldı
Bulut tehdidi ortamındaki geçmiş saldırıların ve mevcut eğilimlerin analizi, saldırganların giderek daha gelişmiş saldırı yöntemlerini benimsediğini de gösteriyor. Üçüncü taraf uygulamalardaki tehlikeli özellikler de dahil olmak üzere, bariz güvenlik açıklarıyla birlikte yeni saldırı tekniklerinin ve araçlarının kullanılması, kuruluşları çeşitli büyük risklere maruz bırakır.
Ek olarak, siber suçlular sürekli olarak kullanıcı kimlik bilgilerini çalmanın ve kullanıcı hesaplarına erişim elde etmenin yeni yollarını arıyor. Proofpoint'in son araştırmasının da gösterdiği gibi, meşru ve popüler bir bulut uygulaması olan Microsoft Teams, çeşitli bulut saldırıları için bir platform olarak kullanılabilir.
Proofpoint uzmanları, soruşturmanın tamamını, saldırı yöntemlerinin ekran görüntüleri kullanılarak ayrıntılı olarak açıklandığı bir blogda yayınladı.
Daha fazlası Proofpoint.com'da
Prova Noktası Hakkında Proofpoint, Inc. önde gelen bir siber güvenlik şirketidir. Proofpoint'in odak noktası, çalışanların korunmasıdır. Çünkü bunlar bir şirket için en büyük sermaye, aynı zamanda en büyük risk anlamına gelir. Entegre bir bulut tabanlı siber güvenlik çözümleri paketiyle Proofpoint, dünyanın dört bir yanındaki kuruluşların hedeflenen tehditleri durdurmasına, verilerini korumasına ve kurumsal BT kullanıcılarını siber saldırı riskleri konusunda eğitmesine yardımcı olur.