Microsoft varuje před zneužitím OAuth aplikace k automatizaci BEC útoků

Zpět na blog

Microsoft upozorňuje, že útočníci využívají OAuth aplikace k automatizaci útoků BEC (Business E-mail Compromise), phishingu, rozesílání spamu a k nasazení virtuálních strojů pro těžbu kryptoměn.

OAuth (Open Authorization) je otevřený standard pro udělování bezpečného delegovaného přístupu k serverovým zdrojům na základě uživatelem definovaných oprávnění prostřednictvím autentizace a autorizace založené na tokenech, aniž by bylo nutné poskytovat přihlašovací údaje.

Nedávné incidenty, které vyšetřovali experti Microsoft Threat Intelligence, odhalily, že útočníci se zaměřují především na uživatelské účty, které postrádají robustní autentizační mechanismy (např. vícefaktorovou autentizaci) v rámci phishingových nebo password-spraying útoků, s důrazem na ty s oprávněními vytvářet nebo upravovat OAuth aplikace.

Tyto zneužité účty jsou poté použity k vytvoření nových OAuth aplikací a udělení jim vysokých oprávnění, což umožňuje skrýt jejich škodlivou povahu a zároveň zajistit trvalý přístup, i když je původní účet ztracen.

Tyto OAuth aplikace s vysokými oprávněními jsou využívány pro široké spektrum nelegálních aktivit, včetně nasazování virtuálních strojů pro těžbu kryptoměn, zajištění trvalého přístupu v útocích BEC a iniciování spamových kampaní, které zneužívají doménová jména kompromitovaných organizací.

Jedním z významných příkladů je útočník Storm-1283, který vytvořil OAuth aplikaci pro nasazení virtuálních strojů pro těžbu kryptoměn. Finanční dopad na cílové organizace se pohyboval od 10 000 do 1,5 milionu dolarů v závislosti na délce útoku.

Další útočník zneužil OAuth aplikace vytvořené pomocí kompromitovaných účtů ke spuštění phishingových kampaní s využitím phishingové sady typu adversary-in-the-middle (AiTM).

Ten samý útočník použil kompromitované účty pro průzkum BEC útoků prostřednictvím aplikace Microsoft Outlook Web Application (OWA) k vyhledávání příloh spojených s platbami a fakturami.

V dalších případech útočník vytvořil víceúčelové OAuth aplikace pro přidávání nových pověření a čtení e-mailů nebo odesílání phishingových e-mailů prostřednictvím Microsoft Graph API.

K obraně proti zneužívání OAuth Microsoft doporučuje používat vícefaktorovou autentizaci. Bezpečnostní týmy by měly také povolit zásady podmíněného přístupu k blokování útoků využívajících ukradené přihlašovací údaje, nepřetržité vyhodnocování přístupu k automatickému odvolání uživatelského přístupu na základě spouštěčů rizik, a zabezpečení Azure Active Directory.

Zdroj: Bleepingcomputer.com

25. 12. 2023