นักวิจัยของ Microsoft Corp. ได้ให้รายละเอียดเกี่ยวกับการโจมตีล่าสุดที่เกี่ยวข้องกับแอปพลิเคชัน OAuth ที่เป็นอันตราย ซึ่งถูกนำไปใช้กับผู้เช่าระบบคลาวด์ที่ถูกบุกรุกเพื่อควบคุมเซิร์ฟเวอร์ Exchange และการแพร่กระจายสแปม
ผู้คุกคามเปิดตัวการโจมตีแบบใส่ข้อมูลประจำตัวกับบัญชีที่มีความเสี่ยงสูงซึ่งไม่ได้เปิดใช้งานการพิสูจน์ตัวตนแบบหลายปัจจัย จากนั้นจึงใช้ประโยชน์จากบัญชีผู้ดูแลระบบที่ไม่ปลอดภัยเพื่อเข้าถึงเบื้องต้น ด้วยการเข้าถึงนี้ ผู้โจมตีจึงสร้างแอป OAuth ที่เป็นอันตรายซึ่งเพิ่มตัวเชื่อมต่อขาเข้าในเซิร์ฟเวอร์อีเมล ทำให้ผู้ดำเนินการส่งอีเมลสแปมจากโดเมนของเป้าหมายได้
การโจมตีบนเซิร์ฟเวอร์ Exchange นั้นแทบจะไม่เกิดขึ้นเลย แต่นักวิจัยอธิบายว่ากรณีนี้เป็นที่สนใจ เนื่องจากเป็นการบ่งชี้ถึงความนิยมที่เพิ่มขึ้นของการใช้แอปพลิเคชัน OAuth ในทางที่ผิด ตัวอย่างก่อนหน้าของการละเมิด OAuth ได้แก่ “การยินยอมฟิชชิ่ง” ซึ่งหลอกให้ผู้ใช้อนุญาตแอป OAuth ที่เป็นอันตรายเพื่อเข้าถึงบริการคลาวด์ นอกจากนี้ยังมีการโจมตีอื่นๆ ที่ผู้ดำเนินการที่ได้รับการสนับสนุนจากรัฐใช้แอป OAuth สำหรับการสื่อสารด้วยคำสั่งและการควบคุม แบ็คดอร์ ฟิชชิง และการเปลี่ยนเส้นทาง
การโจมตีครั้งใหม่นี้เกี่ยวข้องกับเครือข่ายแอพผู้เช่ารายเดียวที่ติดตั้งในองค์กรที่ถูกบุกรุกซึ่งใช้เป็นแพลตฟอร์มระบุตัวตนของนักแสดงเพื่อทำการโจมตี ทันทีที่มีการเปิดเผยการโจมตี แอปพลิเคชันที่เกี่ยวข้องทั้งหมดจะถูกลบออก ลูกค้าจะได้รับแจ้งและดำเนินการตามขั้นตอนการแก้ไข
ผู้โจมตีในกรณีนี้เชื่อมโยงกับแคมเปญที่ส่งอีเมล์ฟิชชิ่ง ในการโจมตีครั้งนี้ เซิร์ฟเวอร์ที่ถูกบุกรุกได้ส่งอีเมลซึ่งเป็นส่วนหนึ่งของแผนการชิงโชคปลอมซึ่งมีจุดประสงค์เพื่อหลอกให้ผู้รับสมัครสมัครสมาชิกแบบชำระเงินซ้ำ
คดีนี้ยังเน้นย้ำถึงความจำเป็นที่องค์กรต้องมีการรักษาความปลอดภัยเพื่อป้องกันการโจมตีดังกล่าว นักวิจัยอธิบายว่าการโจมตีเปิดโปงจุดอ่อนด้านความปลอดภัยที่ผู้คุกคามรายอื่นก็สามารถใช้ได้เช่นกัน
เนื่องจากเวกเตอร์การโจมตีเริ่มต้นคือการได้รับข้อมูลประจำตัวของผู้ดูแลระบบ นักวิจัยแนะนำให้องค์กรลดความเสี่ยงในการโจมตีด้วยการคาดเดาข้อมูลประจำตัวโดยใช้ 2FA เปิดใช้งานการเมืองแบบมีเงื่อนไขและใช้การประเมินการเข้าถึงอย่างต่อเนื่อง อย่างหลังจะเพิกถอนการเข้าถึงแบบเรียลไทม์เมื่อการเปลี่ยนแปลงในเงื่อนไขผู้ใช้ก่อให้เกิดความเสี่ยง เช่น เมื่อผู้ใช้ถูกยุติการใช้งานหรือย้ายไปยังตำแหน่งที่ไม่น่าเชื่อถือ
องค์กรยังได้รับการสนับสนุนให้เปิดใช้งานค่าเริ่มต้นด้านความปลอดภัย เช่น ภายใน Azure AD ที่ปกป้องแพลตฟอร์มข้อมูลประจำตัวขององค์กรด้วยการตั้งค่าที่กำหนดไว้ล่วงหน้า ซึ่งรวมถึง MFA และการป้องกันกิจกรรมที่มีสิทธิพิเศษ
แม้ว่าการประยุกต์ใช้ MFA จะอยู่ในระดับแนวหน้าตามคำแนะนำของนักวิจัย David Lindner หัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูลของบริษัทซอฟต์แวร์รักษาความปลอดภัยแอปพลิเคชัน Contrast Security Inc. กล่าวกับ SiliconANGLE ว่าแม้ว่า MFA จะช่วยได้ในกรณีนี้ ไม่ใช่ MFA ทั้งหมดจะเป็น เดียวกัน.
“ในฐานะองค์กรด้านความปลอดภัย ถึงเวลาแล้วที่เราจะเริ่มต้นจาก ‘ชื่อผู้ใช้และรหัสผ่านถูกบุกรุก’ และสร้างการควบคุมขึ้นมา” ลินด์เนอร์อธิบาย “เราต้องเริ่มต้นด้วยพื้นฐานและปฏิบัติตามหลักการของสิทธิพิเศษน้อยที่สุด และสร้างนโยบายการควบคุมการเข้าถึงตามบทบาทที่เหมาะสมและขับเคลื่อนธุรกิจ”
ลินด์เนอร์เสริมว่าองค์กรจำเป็นต้องตั้งค่าการควบคุมทางเทคนิคที่เหมาะสม เช่น MFA การรับรองความถูกต้องตามอุปกรณ์ และการหมดเวลาของเซสชัน ยิ่งไปกว่านั้น เขากล่าวอีกว่า “เราจำเป็นต้องตรวจสอบความผิดปกติ เช่น การเข้าสู่ระบบที่เป็นไปไม่ได้ การพยายามใช้กำลังเดรัจฉาน และความพยายามในการเข้าถึงระบบที่ไม่ได้รับอนุญาต”
