Piekļuves tiesību izkrāpšanas uzbrukumi
Office 365 piekļuves tiesību izkrāpšanas uzbrukums – tas ir Office 365 lietotājiem specifisks pikšķerēšanas veids.
Līdzīgi kā parastas pikšķerēšanas gadījumā, uzbrukuma upurim tiek nosūtīts e-pasts ar saiti uz it kā koplietotu dokumentu.
Parasti līdzīgu pikšķerēšanas mēģinājumu mērķis ir iegūt pieeju lietotāja e-pastam, taču Office 365 gadījumā iespējams iegūt daudz vairāk.
Norādītā saite uzreiz pāradresē lietotāju uz īstu Microsoft autentifikācijas vietni. Ja lietotājs tobrīd jau ir autentificējies Office 365 sistēmā, papildu autentifikācija netiek prasīta. Ja lietotājs nebija autentificējies un nākas ievadīt piekļuves datus, tad tas tiek darīts īstā Microsoft vietnē, izpildot visus autentifikācijas soļus, ieskaitot vairākfaktoru autentifikāciju (kā parasti).
Uzbrukuma mērķis nav iegūt lietotāja pieejas datus, bet piesaistīt lietotāja kontu ļaunprātīgai Microsoft Azure vidē izveidotai lietotnei (Azure App), kura pēc lietotāja autentificēšanās Office 365 sistēmā pieprasa apstiprināt piekļuvi dažādiem lietotājam pieejamiem resursiem, tādejādi piekļūstot gan lietotāja izmantotajiem pakalpojumiem Office 365 vidē (e-pastam, kalendāram, failiem, kontaktu sarakstam utt), gan citiem Microsoft risinājumiem (Skype, SharePoint, OneDrive, Remote Desktop), kā arī visiem trešo pušu risinājumiem, kuros organizācijas ietvaros tiek izmantota vienota pierakstīšanās (Single Sign-On), piemēram, Zoom platformā. Azure App var pieprasīt arī tiesības mainīt lietotāja iestatījumus.
Lai gan šīs piekļuves tiesības, līdzīgi kā instalējot mobilās lietotnes vai pārlūku paplašinājumus, tiek skaidri uzskaitītas pirms Azure App uzstādīšanas, daudzi lietotāji, nepievēršot papildu uzmanību, veic pieprasījuma apstiprināšanu, jo, iespējams, līdz galam neizprot šīs darbības potenciālo ietekmi, kā arī uzskata Azure App par uzticamām vai nekaitīgām programmām. Taču Azure App var izveidot ikviens, un tās var izplatīt gan caur trešo pušu mājaslapām, gan caur Office 365 Marketplace. Ļaunprātīgās Azure App uzticamības palielināšanai bieži izmanto nosaukumus, kas asociējas ar Microsoft vai citiem populāriem servisiem.
No Office 365 administratoru viedokļa šāda uzbrukuma sekas ir daudz plašākas par parastu e-pasta uzlaušanu, jo krāpnieki iegūst lielāku pieeju, turklāt šāda veida uzlaušana var paiet pilnīgi nemanāmi gan no lietotāju, gan no IT administratoru viedokļa. Noziedznieki var piekļūt e-pastiem un failiem caur dažādiem API, neatstājot pēdas parastos žurnālfailos (jo netiek izmantoti tādi protokoli kā IMAP vai POP).
Arī gadījumā, ja lietotājam radīsies aizdomas, ka viņa konts ir uzlauzts, un lietotājs nomainīs Office 365 konta paroli, krāpnieku pieeja netiks atslēgta, bet lietotājam var rasties viltus drošības sajūta.
To, kādām Azure App lietotnēm šobrīd ļauts piekļūt lietotāja kontam, katrs lietotājs var pārbaudīt sadaļā: https://account.live.com/consent/Manage
Office 365 administratori, savukārt, var pasargāt savus lietotājus, iestatījumos veicot atzīmi, kas ļauj lietotājiem autorizēties tikai verificētu Microsoft Partner lietotnēs: https://docs.microsoft.com/en-us/azure/active-directory/develop/publisher-verification-overview
Microsoft piedāvā arī daudzas citas iespējas, ko Office 365 administratori var izmantot, lai vēl vairāk ierobežot to, kādā veidā lietotāji var autorizēties šajos trešo pušu pakalpojumos un kāda veida datus šie pakalpojumi var iegūt.
Savukārt, ja ir aizdomas, ka kāda lietotāja konts varētu būt šādā veidā kompromitēts, to var pārbaudīt, izmantojot Audit žurnālfailu.
Vairāk informācijas par šiem pikšķerēšanas uzbrukumiem:
- https://docs.microsoft.com/en-us/microsoft-365/security/office-365-security/detect-and-remediate-illicit-consent-grants
- https://docs.microsoft.com/en-us/azure/active-directory/manage-apps/manage-consent-requests
- https://www.varonis.com/blog/using-malicious-azure-apps-to-infiltrate-a-microsoft-365-tenant/
- https://www.secwise.be/en/turn-off-azure-ad-application-consent-by-users-now/
Noderīgi rīki:
- https://www.fireeye.com/blog/threat-research/2018/05/shining-a-light-on-oauth-abuse-with-pwnauth.html
- https://www.mdsec.co.uk/2019/07/introducing-the-office-365-attack-toolkit/
- https://secwiseaadoauthhack.azurewebsites.net/
Attēls: pixabay.com