Microsoft: aanvallers kregen via malafide OAuth-applicaties toegang tot e-mail

[Captain Kirk]

De groep aanvallers die op systemen van Microsoft wist in te breken en daarbij e-mail en bijlagen buitmaakte deed dit via malafide OAuth-applicaties, zo laat het techbedrijf in een update over het incident weten. Microsoft stelt verder dat meerdere organisaties door de groep zijn aangevallen en het begonnen is om deze organisaties te informeren. Eerder meldde Hewlet Packard Enterprise (HPE) al dat het slachtoffer van de groep was geworden, die bekendstaat als Cozy Bear en Midnight Blizzard. Eerder maakten de Amerikaanse en Britse autoriteiten bekend dat deze groep onderdeel van de Russische geheime dienst SVR is.

De groep had wekenlang toegang tot e-mailaccounts van Microsoft, waarbij er vooral werd gezocht naar wat het techbedrijf over de groep wist, aldus een verklaring van Microsoft zelf. Het bedrijf stelt dat het de aanvallen uiteindelijk opmerkte door loggegevens van Exchange Web Services (EWS) activiteiten en audit logging features te gebruiken. In een nieuwe blogposting over de aanval geeft Microsoft meer details over de werkwijze van Cozy Bear en wat organisaties kunnen doen om zichzelf te beschermen.

Cozy Bear maakt vooral gebruik van password spraying om toegang tot accounts en systemen te krijgen. Dit is een techniek waarbij een aanvaller veelgebruikte wachtwoorden probeert om op een account in te loggen. Om detectie te voorkomen gebruikt een aanvaller eerst één wachtwoord tegen een groot aantal accounts, voordat er een tweede wachtwoord wordt gebruikt. Door deze techniek voorkomt de aanvaller dat een account wordt geblokkeerd en de aanval wordt opgemerkt. Vaak wordt er ook vanaf allerlei verschillende ip-adressen ingelogd.

Malafide OAuth-applicaties

Via de password spraying-aanval kregen de aanvallers toegang tot een Microsoft 'test tenant account'. Vervolgens wisten de aanvallers via dit account een legacy OAuth-applicatie gebruikt voor testdoeleinden te vinden en benaderen. Deze OAuth-applicatie had verhoogde rechten tot de zakelijke Microsoft-omgeving. De aanvallers creëerden vervolgens meerdere malafide OAuth-applicaties en een nieuw gebruikersaccount. Dit account gaf vervolgens toestemming dat de malafide OAuth-applicaties toegang tot de Microsoft-omgeving hadden. Via de applicaties kregen de aanvallers vervolgens toegang tot mailboxes in Office 365 Exchange Online.

De aanvallers gebruikten bij hun aanval ook residentiële proxy-netwerken, waarbij het verkeer liep via ip-adressen van gecompromitteerde gebruikers. Via deze ip-adressen werd de gecompromitteerde tenant gebruikt en ingelogd op Exchange Online. Microsoft stelt dat dit geen nieuwe techniek is, maar dat het gebruik van residentiële proxies om verbindingen te verbergen detectie via traditionele Indicators of Compromise (IoC's), vanwege het grote aantal ip-adressen dat verandert, onpraktisch maakt. Om de aanvallen te voorkomen adviseert Microsoft onder andere om maatregelen tegen password spraying te nemen en op malaifde OAuth-applicaties te monitoren.

 

bron: https://www.security.nl