SolarWinds 攻击背后的威胁发起者去年被认为已经危害了使用该公司 Orion 软件的大约 18,000 名客户,现在正在通过利用 Microsoft Exchange 的合法功能来针对 Microsoft 邮箱所有者。
据报道,针对微软的攻击是过去六个月中发生的更广泛、更持久的攻击浪潮的一部分,该公司已向 600 多名用户通报了超过 22,000 次攻击。
这些攻击似乎没有放缓的迹象。 微软本身此前也曾警告我们有关他们的事情。 如果你是 Microsoft 365 用户,你可以采取一些措施来专门缓解这一最新威胁 - 我们详细介绍了具体方法。
微软邮箱攻击是如何运作的
网络安全公司称,威胁行为者(网络安全专家将其称为 UNC2452)正在“从本地网络横向转移到 Microsoft 365 云”曼迪安特说。
曼迪安特的报告详细介绍了威胁行为者如何渗透云服务提供商以获取其客户的访问权限。 报告中详细介绍了所使用的其他技术,包括 3 月份的报告称威胁行为者正在改变邮箱文件夹权限,以方便持续访问电子邮件。
但最近几天,这种威胁如何利用 Microsoft Exchange Web Services API 的功能来访问邮箱中包含的信息,引起了安全专家的警惕。
Microsoft Exchange 中的模拟
该报告声称,威胁行为者一直在利用 Microsoft Exchange Web 服务 (EWS) 中包含的“模拟”功能。 EWS 是本机应用程序接口。 API 可帮助两个应用程序相互通信,而 EWS 允许 Microsoft Exchange 服务器和 Office 365 与其他应用程序集成或“通信”。
这种集成包括允许客户端应用程序(例如 Microsoft Outlook)从企业或团队使用的 Microsoft Exchange 服务器中提取信息。 它还允许服务应用程序(例如 CRM 系统)提取联系信息等内容,或允许销售程序访问日历和电子邮件地址。
“模拟”功能 - 由称为“应用程序模拟”的特权角色控制 - 通常用于需要从多个收件箱中提取某些类型信息的服务应用程序/帐户,因此需要充当“邮箱所有者”在每个实例中。 这与委托访问等功能形成鲜明对比,委托访问等功能在单个用户需要访问多个日历来规划会议时使用。
威胁行为者如何使用冒充行为?
Mandiant 解释说,威胁行为者正在“破坏具有 Exchange 管理员或全局管理员角色的帐户”,因为为了分配应用程序模拟角色(允许您模拟其他邮箱所有者的内置 Exchange 角色),帐户必须具有与 Exchange 管理员角色关联的权限或具有类似权限的角色。
“这对威胁行为者很有用,因为通过访问一个帐户,他们可以成为受害者组织中的任何其他用户,并访问该用户的电子邮件、附件和联系人” – Mandiant 的 Doug Bienstock。
该文档继续说道:“获得正确的权限级别后,威胁参与者使用 Exchange Online PowerShell 登录租户并创建新的管理角色分配。 威胁行为者将创建一个新任务,并为其指定一个与其他预先存在的任务相融合的名称。” Mandiant 表示,该角色的创建没有任何限制,因此租户中的任何邮箱都可以轻松访问。
“此功能必须由组织中的管理员明确授予帐户。”Mandiant 的事件响应经理 Doug Bienstock 在网络安全潜水。
他继续说道:“这对于威胁行为者来说非常有用,因为通过访问一个帐户,他们可以成为受害者组织中的任何其他用户,并访问该用户的电子邮件、附件和联系人。”
如果我使用 Microsoft Exchange 邮箱,该怎么办?
目前,对所有使用 Microsoft 邮箱的团队的建议是检查所有分配有应用程序模拟角色的帐户和组并将其删除。 还建议限制此角色将允许用户或应用程序访问的邮箱。
像这样的新闻还应该促使公司反思他们是否正在执行最小特权原则——网络上的任何给定模块、用户或应用程序只能访问执行其所需任务所需的最少信息量。 – 在所有可能的领域。
向前走,最好在新帐户被授予此特定权限时创建警报。 Mandiant 还建议创建用于管理分配了此角色的帐户登录的 IP 地址白名单。
也值得考虑设置多因素身份验证,遵循 Microsoft 的指导。
可用应用程序的功能越丰富、集成度越高,并且它们的设计越能创造更轻松的用户体验,就会创建越多的快捷方式和自动化流程。 对此类功能的利用意味着企业现在不仅有责任定期检查其网络安全基础设施,而且有责任使用易于利用的功能,尤其是以权限为中心的功能。
