Um esquema de comprometimento de e-mail comercial direcionado a CEOs e CFOs usando o Microsoft Office 365 combina phishing com um ataque man-in-the-middle para derrotar a autenticação multifator.
Esses ataques tiram proveito de uma supervisão de design do Microsoft 365 que permite que criminosos comprometam contas com MFA habilitada e obtenham persistência nos sistemas das vítimas, adicionando um novo método de autenticação comprometido, permitindo que eles voltem a qualquer momento. Isso está de acordo com os pesquisadores de segurança da Mitiga, que aparentemente identificaram a campanha e a falha do Microsoft 365.
“Aproveitando esse acesso irrestrito, os invasores monitoram as contas de e-mail da vítima até que uma transação substancial seja acontecer e, em seguida, enviar um e-mail fraudulento solicitando uma mudança da conta bancária de destino para uma conta no controle dos invasores, efetivamente roubando esses fundos”, explicou a empresa de resposta a incidentes, acrescentando:
Primeiro, a vítima recebe um e-mail de phishing que parece ser da DocuSign e até tem um endereço legítimo “docusign.net”. Alerta de spoiler: é falsificado. Os pesquisadores do Mitiga observaram que a Microsoft sinalizou este e-mail como uma tentativa de phishing, mas não foi bloqueado devido a uma configuração incorreta no ambiente do cliente.
O e-mail falso da DocuSign inclui um “Documento de revisão “, que direciona a vítima para um servidor controlado pelo invasor (este estava em Cingapura). Depois de clicar no link malicioso, o executivo foi solicitado a fazer login em sua conta da Microsoft usando seu nome de usuário e senha e recebeu um aviso em seu dispositivo de autenticação multifator para autorizar o login.
Na realidade, o nome de usuário e senha foram coletados pelo servidor e enviados à Microsoft, gerando a solicitação de autorização MFA que foi aceita, logando o usuário e gerando um cookie de sessão que em seu caminho de volta para o usuário da Microsoft foi interceptado e usado pelo servidor mal no meio.
Esta parte do ataque provavelmente usa a estrutura evilginx2 ou um kit de ferramentas semelhante para phishing 2FA, o security pesquisadores escreveram, observando que a Microsoft já havia alertado sobre criminosos usando essa técnica man-in-the-middle para fraude financeira.
Em qualquer caso, os criminosos configuraram um proxy entre a vítima e Os sistemas de back-end da Microsoft para obter as credenciais necessárias e solicitação de MFA para se disfarçar como a marca.
“A vítima é solicitada com uma solicitação de MFA genuína em seu dispositivo MFA”, de acordo com a análise. “Depois de aprovar a solicitação, o servidor da Microsoft retorna um cookie de sessão válido, que o adversário fareja e pode usar para assumir a sessão da vítima, sem precisar digitar novamente uma senha ou aprovar uma solicitação de MFA.”
Neste ponto, os criminosos podem fazer login usando o cookie de sessão e começar a bisbilhotar o ambiente Office 365 da vítima, verificando e-mails do Outlook e arquivos do SharePoint. Eles estão procurando por qualquer coisa que indique uma transação futura – mensagens, contratos, etc. – para, em última análise, realizar fraudes financeiras.
Além disso, depois de roubar as credenciais da vítima, o site malicioso redireciona a vítima para uma página de erro falsa do DocuSign com a esperança de que a vítima não perceba que caiu em um phishing e desencadeie quaisquer mitigações de segurança.
Isso também significa que o cookie de sessão roubado permanece válido e o invasor pode estabelecer persistência no ambiente 365.
Microsoft encontra uma falha crítica no sistema operacional que pela primeira vez não é o Windows
Conforme observado anteriormente, os criminosos usam uma fraqueza de design no 365 MFA para manter a persistência, o que lhes permite adicionar um novo aplicativo autenticador conectado ao perfil de usuário comprometido sem o conhecimento da vítima.
Mitiga disse que entrou em contato com a Microsoft, mas ainda não recebeu uma resposta. Como esta não é uma vulnerabilidade, não houve necessidade de fazer uma divulgação preliminar.
O problema existe porque uma vez que uma sessão foi autorizada por meio de MFA, a Microsoft não exige um novo desafio de MFA para a duração do token MFA.
Assim, durante a duração do token, um usuário (ou invasor, neste caso) pode acessar e alterar os métodos de autenticação do usuário na seção Informações de segurança do perfil da conta e adicionar um aplicativo autenticador que esteja sob seu próprio controle sem acionar um novo desafio de MFA.
Isso significa que uma vez que uma conta tenha sido comprometida, mesmo por um período de tempo extremamente curto, é possível criar persistência usando esta técnica
“Isso significa que uma vez que uma conta tenha sido comprometida, mesmo por um período de tempo extremamente curto, é possível criar persistência usando essa técnica, para que um invasor possa se autenticar novamente com o MFA quando a sessão expirar ou for revogada”, disseram os pesquisadores.
“É importante observar que, mesmo que uma organização coloque um prazo de expiração de MFA rigoroso de um dia, isso ainda não impedirá para o invasor com essa técnica.”
Um porta-voz da Microsoft se recusou a responder nossas perguntas sobre a pesquisa da Mitiga e, em vez disso, nos deu esta declaração enlatada:
“É importante estar ciente do phishing do AitM e recomendamos que os usuários pratiquem bons hábitos de computação on-line, incluindo cautela ao clicar em links para páginas da Web, abrir arquivos desconhecidos ou aceitar transferências de arquivos. Recomendamos que os clientes usem o Acesso Condicional do Azure AD para configurar regras específicas para níveis de risco permitidos, locais, conformidade de dispositivos e outros requisitos para impedir o registro de novos créditos por adversários.
“Sempre que possível, também recomendamos o uso de credenciais resistentes a phishing, como Windows Hello ou FIDO. Para ajudar a proteger os clientes contra esse tipo de ataque, o Authenticator oferece informações de contexto para avisar ao usuário que sua localização não é familiar ou que o aplicativo não é aquele que ele está Estamos constantemente procurando novas maneiras de resistir melhor ao phishing para ajudar a garantir a segurança do cliente.”
