A csalók az Office 365 felső vezetőit célozzák meg MFA-bypass-sémával • A nyilvántartás

A Microsoft Office 365-öt használó vezérigazgatókat és pénzügyi igazgatókat célzó vállalati e-mail kompromisszumos rendszer az adathalászatot egy köztes támadással kombinálja a többtényezős hitelesítés legyőzése érdekében.

Ezek a támadások kihasználják a Microsoft 365 tervezési felügyeletét, amely lehetővé teszi a gonosztevők számára, hogy kompromittálják az MFA-t használó fiókokat, és az áldozatok rendszerében tartósságot érjenek el egy új, feltört hitelesítési módszer hozzáadásával, amely lehetővé teszi számukra, hogy bármikor visszatérhessenek. Ez a Mitiga biztonsági kutatói szerint, akik láthatóan észrevették a kampányt és a Microsoft 365 hibáját is.

“Ezzel a korlátlan hozzáféréssel a támadók addig figyelik az áldozat e-mail fiókjait, amíg egy jelentős tranzakció meg nem történik, majd csaló e-mailt küldenek, amelyben azt kérik, hogy a cél bankszámlát egy olyan számlára módosítsák, amely a támadókat kezeli, és ezzel gyakorlatilag ellopják ezeket a pénzeszközöket” Az incidensre reagáló cég kifejtette, hozzátéve:

Először is, az áldozat egy adathalász e-mailt kap, amely úgy tűnik, hogy a DocuSign-től származik, és még legitim “docusign.net” címmel is rendelkezik. Spoiler figyelmeztetés: hamisított. A Mitiga kutatói megjegyezték, hogy bár a Microsoft ezt az e-mailt adathalász kísérletként jelölte meg, nem blokkolták az ügyfélkörnyezet hibás konfigurációja miatt.

A hamis DocuSign e-mail egy „Dokumentum áttekintése” hivatkozást tartalmaz, amely az áldozatot egy támadó által vezérelt szerverre irányítja (amely történetesen Szingapúrban található). Miután rákattintott a rosszindulatú hivatkozásra, a végrehajtót arra kérték, hogy jelentkezzen be a Microsoft-fiókjába a felhasználónevével és jelszavával, és többtényezős hitelesítő eszközükön felszólítást kapott a bejelentkezés engedélyezésére.

Valójában a felhasználónevet és jelszót a szerver összegyűjtötte és elküldte a Microsoftnak, létrehozva az MFA-engedélyezési kérelmet, amelyet elfogadtak, bejelentkezve a felhasználót, és létrehozva egy munkamenet-cookie-t, amelyet elfogtak a Microsofttól a felhasználóhoz vezető úton, és felhasználták. a dühös kiszolgáló által középen.

A támadásnak ez a része valószínűleg az evilginx2 keretrendszert vagy egy hasonló 2FA adathalász eszközkészletet használ – írták a biztonsági kutatók, megjegyezve, hogy a Microsoft korábban figyelmeztetett a csalókra, akik ezt az ember a középső technikát használják pénzügyi csalásra.

Mindenesetre a gonosztevők proxyt állítottak fel az áldozat és a Microsoft háttérrendszerei között, hogy megszerezzék a szükséges hitelesítő adatokat és MFA-kérést a védjegy megszemélyesítésére.

“Az áldozat valódi MFA-kérést kap MFA-eszközén” – áll az elemzésben. “A kérés jóváhagyása után a Microsoft szerver egy érvényes munkamenet-cookie-t küld vissza, amelyet az ellenfél megszagol, majd felhasználhatja az áldozat munkamenetének átvételére anélkül, hogy újra meg kellene adnia egy jelszót, vagy jóváhagynia kellene egy MFA-kérést.”

Ezen a ponton a gonosztevők bejelentkezhetnek a munkamenet-cookie-val, és elkezdhetik az áldozat Office 365-környezetében leselkedni, átvizsgálni az Outlook e-maileket és a SharePoint fájlokat. Olyasmit keresnek, ami egy közelgő tranzakciót jelez – üzeneteket, szerződéseket stb. –, hogy végül pénzügyi csalást kövessen el.

Sőt, miután ellopta az áldozat hitelesítő adatait, a rosszindulatú oldal átirányítja az áldozatot egy hamis DocuSign hibaoldalra, abban a reményben, hogy az áldozat nem veszi észre, hogy adathalászatba esett, és nem aktivál semmilyen biztonsági intézkedést.

Ez azt is jelenti, hogy az ellopott munkamenet-cookie érvényes marad, és a támadó állandóságot tud biztosítani a 365-ös környezetben.

Amint azt korábban megjegyeztük, a bűnözők a 365 MFA tervezési gyengeségét használják a kitartás fenntartása érdekében, lehetővé téve számukra, hogy az áldozat tudta nélkül hozzáadjanak egy új hitelesítő alkalmazást a feltört felhasználó profiljához.

A Mitiga közölte, hogy felvette a kapcsolatot a Microsofttal, de még nem kapott választ. Mivel ez nem sérülékenység, nem volt szükség előzetes tájékoztatásra.

A probléma azért áll fenn, mert miután egy munkamenetet engedélyeztek az MFA-n keresztül, a Microsoftnak nincs szüksége új MFA-kihívásra az MFA-jogkivonat időtartamára.

Tehát a token időtartama alatt a felhasználó (vagy ebben az esetben a támadó) hozzáférhet és módosíthatja a felhasználói hitelesítési módszereket a fiókprofil Biztonsági információk részében, és hozzáadhat egy hitelesítési alkalmazást, amely saját ellenőrzése alatt áll anélkül, hogy aktiválna egy új MFA. kihívás.

Ez azt jelenti, hogy ha egy fiókot feltörtek, még rendkívül rövid ideig is, lehetőség van állandóság létrehozására ezzel a technikával

“Ez azt jelenti, hogy ha egy fiókot feltörtek, még rendkívül rövid ideig is, akkor ezzel a technikával állandóságot lehet teremteni, hogy a támadó újra hitelesíthesse az MFA-t, amikor a munkamenet lejár vagy visszavonják.” – mondták a kutatók.

„Fontos megjegyezni, hogy még ha egy szervezet szigorú, egynapos MFA-lejárati időt is meghatároz, az nem akadályozza meg [the creation of a token] a támadó számára ezzel a technikával.”

A Microsoft szóvivője nem volt hajlandó válaszolni a Mitiga-vizsgálattal kapcsolatos kérdéseinkre, ehelyett ezt a szokásos nyilatkozatot adta nekünk:

“Fontos tisztában lenni az AitM adathalászattal, és arra bátorítjuk a felhasználókat, hogy gyakorolják a helyes számítási szokásokat online, beleértve az óvatosságot, amikor weboldalakra mutató hivatkozásokra kattintanak, ismeretlen fájlokat nyitnak meg vagy fájlátvitelt fogadnak el. Azt javasoljuk, hogy az Azure AD Conditional Access ügyfelei állítsanak be konkrét szabályokat a megengedett kockázati szintek, helyszínek, eszközök megfelelősége és egyéb követelmények, amelyek megakadályozzák, hogy a támadók új alapokat regisztráljanak.

“Ahol lehetséges, javasoljuk az adathalászat-ellenálló hitelesítő adatok, például a Windows Hello vagy a FIDO használatát. Az ügyfelek ilyen típusú támadásokkal szembeni védelme érdekében a Hitelesítő kontextusinformációkkal figyelmezteti a felhasználót, hogy a tartózkodási helye ismeretlen, vagy az alkalmazás nem. amit elvárnak. Folyamatosan keressük az új módszereket, hogy jobban ellenállhassunk az adathalászatnak az ügyfelek biztonsága érdekében.” ®

Leave a Comment

%d bloggers like this: