Ga naar inhoud

Microsoft: aanvallers kregen via malafide OAuth-applicaties toegang tot e-mail


Aanbevolen berichten

De groep aanvallers die op systemen van Microsoft wist in te breken en daarbij e-mail en bijlagen buitmaakte deed dit via malafide OAuth-applicaties, zo laat het techbedrijf in een update over het incident weten. Microsoft stelt verder dat meerdere organisaties door de groep zijn aangevallen en het begonnen is om deze organisaties te informeren. Eerder meldde Hewlet Packard Enterprise (HPE) al dat het slachtoffer van de groep was geworden, die bekendstaat als Cozy Bear en Midnight Blizzard. Eerder maakten de Amerikaanse en Britse autoriteiten bekend dat deze groep onderdeel van de Russische geheime dienst SVR is.

De groep had wekenlang toegang tot e-mailaccounts van Microsoft, waarbij er vooral werd gezocht naar wat het techbedrijf over de groep wist, aldus een verklaring van Microsoft zelf. Het bedrijf stelt dat het de aanvallen uiteindelijk opmerkte door loggegevens van Exchange Web Services (EWS) activiteiten en audit logging features te gebruiken. In een nieuwe blogposting over de aanval geeft Microsoft meer details over de werkwijze van Cozy Bear en wat organisaties kunnen doen om zichzelf te beschermen.

Cozy Bear maakt vooral gebruik van password spraying om toegang tot accounts en systemen te krijgen. Dit is een techniek waarbij een aanvaller veelgebruikte wachtwoorden probeert om op een account in te loggen. Om detectie te voorkomen gebruikt een aanvaller eerst één wachtwoord tegen een groot aantal accounts, voordat er een tweede wachtwoord wordt gebruikt. Door deze techniek voorkomt de aanvaller dat een account wordt geblokkeerd en de aanval wordt opgemerkt. Vaak wordt er ook vanaf allerlei verschillende ip-adressen ingelogd.

Malafide OAuth-applicaties

Via de password spraying-aanval kregen de aanvallers toegang tot een Microsoft 'test tenant account'. Vervolgens wisten de aanvallers via dit account een legacy OAuth-applicatie gebruikt voor testdoeleinden te vinden en benaderen. Deze OAuth-applicatie had verhoogde rechten tot de zakelijke Microsoft-omgeving. De aanvallers creëerden vervolgens meerdere malafide OAuth-applicaties en een nieuw gebruikersaccount. Dit account gaf vervolgens toestemming dat de malafide OAuth-applicaties toegang tot de Microsoft-omgeving hadden. Via de applicaties kregen de aanvallers vervolgens toegang tot mailboxes in Office 365 Exchange Online.

De aanvallers gebruikten bij hun aanval ook residentiële proxy-netwerken, waarbij het verkeer liep via ip-adressen van gecompromitteerde gebruikers. Via deze ip-adressen werd de gecompromitteerde tenant gebruikt en ingelogd op Exchange Online. Microsoft stelt dat dit geen nieuwe techniek is, maar dat het gebruik van residentiële proxies om verbindingen te verbergen detectie via traditionele Indicators of Compromise (IoC's), vanwege het grote aantal ip-adressen dat verandert, onpraktisch maakt. Om de aanvallen te voorkomen adviseert Microsoft onder andere om maatregelen tegen password spraying te nemen en op malaifde OAuth-applicaties te monitoren.

 

bron: https://www.security.nl

Link naar reactie
Delen op andere sites

Dit is een verouderd onderwerp. Heb je een gelijkaardige vraag? Start dan een nieuw topic in dit forumonderdeel aub.

Doe mee aan dit gesprek

Je kunt dit nu plaatsen en later registreren. Indien je reeds een account hebt, log dan nu in om het bericht te plaatsen met je account.

Gast
Reageer op dit topic

×   Geplakt als verrijkte tekst.   Plak in plaats daarvan als platte tekst

  Er zijn maximaal 75 emoji toegestaan.

×   Je link werd automatisch ingevoegd.   Tonen als normale link

×   Je vorige inhoud werd hersteld.   Leeg de tekstverwerker

×   Je kunt afbeeldingen niet direct plakken. Upload of voeg afbeeldingen vanaf een URL in

×
×
  • Nieuwe aanmaken...

Belangrijke informatie

We hebben cookies geplaatst op je toestel om deze website voor jou beter te kunnen maken. Je kunt de cookie instellingen aanpassen, anders gaan we er van uit dat het goed is om verder te gaan.