- A CrowdStrike Services csapata által végzett több vizsgálat és teszt inkonzisztenciákat azonosított az Azure AD bejelentkezési naplóiban, amelyek tévesen mutattak sikeres bejelentkezést az Internet Mail Access Protocol (IMAP) használatával annak ellenére, hogy blokkolták őket.
- A nyomozók ezekre a naplókra támaszkodnak, hogy meghatározzák a fenyegető szereplők tevékenységét a nyomozások során, amelyek gyakran jogi és szabályozási következményekkel járnak a szervezetek számára.
- Ez a blog olyan ajánlásokat tartalmaz, amelyeket a Microsoft 365 bérlőiben a régi hitelesítés blokkolása érdekében kell végrehajtani, hogy megakadályozzák, hogy a fenyegetés szereplői megkerüljék az erősebb ellenőrzéseket, például a többtényezős hitelesítést (MFA).
Háttér
Mivel sok szervezet átállt a felhőbe, a CrowdStrike jelentős növekedést észlelt mind a felhő-erőforrások elleni opportunista, mind pedig célzott támadások számában, és e támadások nagy része a szervezetek Microsoft 365 (M365) infrastruktúráját célozza, gyakran kifejezetten az üzleti e-mail szolgáltatást. vagy Exchange Online. Számos tanulmányban a CrowdStrike a log következetlenség az Azure AD bejelentkezési eseményeken belül, amelyek a postaláda-hozzáféréshez kapcsolódnak a régi hitelesítési protokollok használatával az M365-ön belül. Ez a cikk kiemeli az inkonzisztenciát, bemutatja, hogy a CrowdStrike hogyan tudta reprodukálni azt laborkörnyezetben, és ajánlásokat ad a konfigurációs beállításokra vonatkozóan, amelyek segítenek a szervezeteknek M365-ös környezetük biztonságában.
Az Exchange Online postafiókjaival kapcsolatos rendellenes tevékenységek vizsgálatakor a CrowdStrike kutatói számos naplóforrást vizsgálnak meg, beleértve az egyesített naplózási naplót és az Azure AD bejelentkezési naplóit, hogy meghatározzák a tevékenység hatókörét. Elengedhetetlen, hogy ezek a naplóforrások pontosan rögzítsék az információkat, mivel a kutatók ezekre támaszkodnak a fenyegető szereplők tevékenységének meghatározásához olyan vizsgálatok során, amelyek gyakran jogi és szabályozási következményekkel járnak a szervezetek számára.
Örökös hitelesítési protokollok
Az Internet Mail Access Protocol (IMAP) és a Post Office Protocol (POP) olyan hitelesítési protokollok, amelyeket leggyakrabban a régi hitelesítés részeként használnak e-mailek postafiókokba történő fogadására. Ezek a protokollok azt eredményezik, hogy egy postafiók tartalmát helyileg töltik le arra a kliensre, amelyről a hitelesítési kérést kezdeményezték. Ezért, amikor ezeket a protokollokat használják az e-mail-kompromisszum-vizsgálat során, feltételezhető, hogy a postafiók teljes tartalmát, amely gyakran érzékeny információkat tartalmaz, a fenyegetés szereplője kiszivárogtatta. A Simple Mail Transfer Protocol (SMTP) egy hitelesítési protokoll, amelyet a régi hitelesítés részeként használnak e-mailek postafiókokból történő küldésére. A fenyegetések szereplője feltört fiókot használ, ami lehetővé teszi az elavult SMTP protokoll számára, hogy hatalmas mennyiségű spamet vagy adathalász e-mailt küldjön mind belső, mind külső felhasználóknak.
Bérlő konfigurációja
A legutóbbi vizsgálatok során a CrowdStrike pontatlan naplózási mintát talált az Azure AD bejelentkezési naplóiban, amely helytelenül hasonlít a régi hitelesítési protokollokon (IMAP vagy POP) keresztüli postaláda-szinkronizálásra. Úgy tűnik, hogy ez a minta megnyilvánul azoknál az M365-bérlőknél, akik: nem rendelkeznek a feltételes hozzáférési (CAP) házirenden keresztüli letiltásra beállított örökölt hitelesítéssel; A POP és az IMAP blokkolása az egyéni postafiók szintjén; és győződjön meg arról, hogy az SMTP hitelesítési protokoll engedélyezett a postafiók szintjén.
Pontatlan Azure AD bejelentkezési naplók
A CAP-blokkoló örökölt hitelesítést nem blokkoló, de az Exchange Online-postaláda szintjén letiltott IMAP-alapú Azure-bérlőkben a CrowdStrike úgy találta, hogy az Azure AD bejelentkezési naplói sikeres bejelentkezéseket mutattak egy IMAP-ügyfélalkalmazáson keresztül, annak ellenére, hogy a postafiók szintjén blokkolták őket. Ez a naplózási minta akkor fordult elő, amikor egy harmadik féltől származó, IMAP és SMTP használatára konfigurált e-mail klienst használtak a postafiók hitelesítésére. Bár a kliens sikeresen tudott e-mailt küldeni SMTP-n keresztül, a postafiókszintű blokkolás miatt nem tudott e-mailt letölteni a helyi rendszerre IMAP-on keresztül. Más szavakkal, az Azure AD naplóbejegyzése az IMAP protokoll használatával sikeres bejelentkezéssel a következő volt: pontatlanmert nem történt e-mail szinkronizálás.
Helytelen hitelesítési folyamat dokumentációja
Ha a dokumentált folyamatot követi, a hitelesítési kísérletet le kell tiltani, mielőtt elérné az Azure AD-t, és ezért azt az Azure AD bejelentkezési naplói nem vehetik fel. Azonban, amint azt az alábbi szakaszban bemutatjuk, a hitelesítési kísérlet továbbra is naplózásra kerül az Azure AD bejelentkezési naplóiban, annak ellenére, hogy állítólag az Azure AD elérése előtt blokkolva van.
Ez a naplózási minta nincs összhangban a dokumentált hitelesítési folyamat a Microsofttól:
Ha le van tiltva, az Exchange Online alapszintű hitelesítése az első előzetes hitelesítési lépésben (az előző diagramok 1. lépésében) le van tiltva, mielőtt a kérés elérné az Azure Active Directory-t vagy a helyszíni azonosítót. Ennek a megközelítésnek az az előnye, hogy a brute force vagy a jelszószóró támadások nem érik el az IdP-t (ami a hibás bejelentkezési kísérletek miatt fiókzáráshoz vezethet).
1. ábra Forrás: https://docs.microsoft.com/en-us/exchange/clients-and-mobile-in-exchange-online/disable-basic-authentication-in-exchange-online
Hozza létre újra a bejelentkezési konzisztenciát
A CrowdStrike beállított egy POC-környezetet, hogy demonstrálja ezt az inkonzisztenciát az olyan postafiókkal való naplózás során, amelynél a POP/IMAP le volt tiltva a postafiók szintjén, de továbbra is lehetővé tette az SMTP-hitelesítést (lásd a 2. ábrát).
2. ábra (kattintson a nagyításhoz)
A POC környezet igen nem rendelkezik egy Azure AD feltételes hozzáférési házirenddel, amely blokkolja a régi hitelesítést. A CrowdStrike a Mozilla Thunderbird programot használta harmadik féltől származó e-mail kliensként, hogy elérje a szimulált áldozat postafiókját az IMAP mint kiválasztott protokoll használatával, amint az a 3. ábrán látható képernyőképen látható.
3. ábra
A megadott hitelesítési adatokkal történő hitelesítés sikeres volt, de az e-mailek nem szinkronizálódtak a helyi klienseszközzel, amint az a 4. ábrán látható.
4. ábra
Az Azure AD bejelentkezési naplói azonban sikeres hitelesítést mutattak az IMAP használatával, az alábbi képernyőképen látható módon.
5. ábra
Az M365 egyesített ellenőrzési naplója a BAV2ROPC felhasználói ügynökön keresztüli sikeres hitelesítést is mutatja, jelezve, hogy alapvető hitelesítést használtak (lásd: 6. ábra).
6. ábra
Amint az a CrowdStrike POC-jában látható, az IMAP-protokoll-hitelesítési kísérlet sikeresként került naplózásra az Azure AD bejelentkezési naplójában, de az áldozat postafiókja soha nem lett sikeresen szinkronizálva vagy letöltve az ügyfélszámítógépre. Ez az inkonzisztencia arra késztetheti az áldozatokat, hogy pontatlan következtetéseket vonjanak le arról, hogy az érintett postafiók tartalmát egy fenyegető szereplő kiszivárogtatta, aminek gyakran vannak szabályozási és jogi vonatkozásai.
Vegye figyelembe azt is, hogy 2022. október 1-től a Microsoft letiltja a POP és IMAP hitelesítést az Exchange Online szolgáltatásban Közlemény:
2022. október 1-jétől végleg letiltjuk az Exchange Online alapszintű hitelesítését minden Microsoft 365-bérlőben, a használattól függetlenül, kivéve az SMTP-hitelesítést.
Javaslatok az örökölt hitelesítés elkerülésére
A következő ajánlások az elavult hitelesítési protokollok használatának elkerülésére szolgálnak. A CrowdStrik ezeket a műveleteket javasolja, hogy minimálisra csökkentsék annak kockázatát, hogy a fenyegetés szereplői kihasználják a régi hitelesítésben rejlő gyenge pontokat, lehetővé téve számukra a postafiók elérését.
Következtetés
A CrowdStrike be tudta mutatni, hogy az Azure-bérlőkben, ahol az IMAP/POP az Exchange Online-postaláda szintjén le van tiltva, de nem voltak CAP-ok a régi hitelesítés blokkolására, az SMTP-hitelesítési kísérleteket helytelenül naplózták bejelentkezésként IMAP-on keresztül. Ez a naplózási minta arra késztetheti a szervezeteket, hogy tévesen azt a következtetést vonják le, hogy a postafiók tartalmát egy rosszindulatú harmadik fél által vezérelt klienseszközre töltötték le, holott a meglévő beállítások blokkoltak volna minden letöltési kísérletet.
Az örökölt hitelesítésből származó fenyegetések mérséklése érdekében a CrowdStrik azt javasolja a szervezeteknek, hogy engedélyezzenek és kényszerítsenek ki egy olyan CAP-t, amely blokkolja a régi hitelesítést minden ügyfélalkalmazásban; tiltsa le az alapvető hitelesítést mind az egyes Exchange Online-postafiókok szintjén, mind a teljes bérlő számára; és a jobb irányítás érdekében engedélyezze a MailItemsAccessed műveletet az összes Exchange Online postafiókban.