שוכרי ענן מרובים המארחים שרתי Microsoft Exchange נפגעו על ידי שחקנים זדוניים המשתמשים באפליקציות OAuth כדי להפיץ דואר זבל.

שרתי Microsoft Exchange המשמשים להפצת דואר זבל

ביום 23.9.2022 נאמר בא פוסט בבלוג של Microsoft Security שהתוקף "שחקן האיום פתח בהתקפות מילוי אישורים נגד חשבונות בסיכון גבוה שלא היו אימות רב-גורמי (MFA) אפשרו ומינפו את חשבונות המנהל הבלתי מאובטחים כדי לקבל גישה ראשונית".

על ידי גישה לדייר הענן, התוקף הצליח לרשום יישום OAuth מזויף עם הרשאות גבוהות. לאחר מכן התוקף הוסיף מחבר זדוני נכנס בתוך השרת, כמו גם כללי תעבורה, אשר נתנו להם את היכולת להפיץ דואר זבל באמצעות דומיינים ממוקדים תוך התחמקות מזיהוי. גם המחבר הנכנס וכללי התחבורה נמחקו בין כל קמפיין כדי לעזור לתוקף לעוף מתחת לרדאר.

כדי לבצע מתקפה זו, שחקן האיום היה מסוגל לנצל חשבונות בסיכון גבוה שלא השתמשו באימות רב-גורמי. ספאם זה היה חלק מתוכנית ששימשה להערים על קורבנות להירשם למנויים ארוכי טווח.

פרוטוקול אימות OAuth נמצא בשימוש הולך וגובר בהתקפות

קרדיט לוגו: כריס מסינה/ויקימדיה קומונס

בפוסט הבלוג שהוזכר לעיל, מיקרוסופט גם הצהירה כי היא "עוקבת אחר הפופולריות הגואה של שימוש לרעה ביישומי OAuth".

instagram viewer
OAuth הוא פרוטוקול המשמש להסכמה לאתרים או ליישומים מבלי לחשוף את הסיסמה שלך. אבל הפרוטוקול הזה נוצל לרעה על ידי שחקן איום מספר פעמים כדי לגנוב נתונים וכספים.

בעבר, שחקנים זדוניים השתמשו באפליקציית OAuth זדונית בהונאה המכונה "דיוג בהסכמה". זה כלל הטעיית קורבנות להעניק הרשאות מסוימות לאפליקציות OAuth מזיקות. באמצעות זה, התוקף יכול לגשת לשירותי הענן של הקורבנות. בשנים האחרונות, יותר ויותר פושעי סייבר משתמשים באפליקציות OAuth זדוניות כדי לרמות משתמשים, לפעמים כדי לבצע דיוג, ולפעמים למטרות אחרות, כגון דלתות אחוריות ו הפניות מחדש.

השחקן שמאחורי המתקפה הזו הפעיל מסעות פרסום קודמים של ספאם

מיקרוסופט גילתה ששחקן האיום האחראי למתקפת ה-Exchange הפעיל קמפיינים דואר זבל מזה זמן מה. כך נאמר פוסט בבלוג של Microsoft Security שיש שני סימני היכר הקשורים לתוקף הזה. שחקן האיום "יוצר באופן תוכנתי הודעות המכילות שתי תמונות גלויות עם היפר-קישור בדוא"ל body", ומשתמש ב"תוכן דינמי ואקראי המוזרק בתוך גוף ה-HTML של כל הודעת דואר כדי להתחמק מספאם מסננים".

למרות שמסעות פרסום אלה שימשו כדי לגשת לפרטי כרטיס אשראי ולהערים על משתמשים להתחיל בתשלום מינויים, מיקרוסופט הצהירה כי לא נראה שיש איומי אבטחה נוספים הנובעים מהפרט הזה תוֹקֵף.

אפליקציות לגיטימיות ממשיכות להיות מנוצלות על ידי תוקפים

יצירת גרסאות מזויפות וזדוניות של אפליקציות מהימנות אינה דבר חדש בתחום פשעי הסייבר. שימוש בשם לגיטימי כדי להערים על קורבנות הייתה שיטת הונאה מועדפת כבר שנים רבות, כאשר אנשים ברחבי העולם נופלים על רמאות כאלה על בסיס יומיומי. זו הסיבה שחשוב לכל משתמשי האינטרנט להפעיל אמצעי אבטחה נאותים (כולל אימות רב-גורמי) בחשבונות ובמכשירים שלהם כך שהסיכויים להיתקל במתקפת סייבר מורידים.