Екипът за сигурност на Microsoft предупреди, че хакери използват функцията за нулиране на пароли, за да получат достъп до потребителски акаунти. Компанията публикува и насоки за защита от подобни атаки.
Хакерска група, известна като Storm-2949, злоупотребява с функцията за нулиране на пароли в услугите на Microsoft, за да открадне идентификационните данни за вход, да получи достъп до акаунти на жертвите и да извлече колкото е възможно повече чувствителни данни.
Нов доклад, публикуван от изследователския екип на Microsoft Defender Security, твърди, че в основата на тази кампания е процесът за самостоятелно нулиране на пароли (SSPR), който се намира в екосистемата на Microsoft.
Тактиката на хакерите
Обикновено, когато служител забрави идентификационните си данни и кликне върху бутона „Забравена парола”, Microsoft изпраща MFA подкана до регистрираното му вторично устройство. Когато служителят я одобри, му е позволено да зададе нова парола чрез същото устройство, на което процесът е бил иницииран първоначално.
Storm-2949 провежда изключително целенасочени атаки. Първо, хакерите идентифицират целта си, получават телефонния ѝ номер, както и имейл адреса, използван за влизане в услугите на Microsoft. След това инициират процеса на нулиране на паролата и едновременно с това се обаждат на жертвите по телефона.
Хакерите се представят като ИТ техници и убеждават жертвите да одобрят подканата за MFA, като по този начин им се разрешава да създадат нова парола. Следващата стъпка е да изтласкат жертвата от акаунта и да извлекат колкото е възможно повече информация.
Екипът на Microsoft Threat Intelligence описва кампанията като „методична, сложна и многопластова”, насочена към приложения на Microsoft 365, услуги за хостване на файлове и среди, хоствани в Azure.
„В един случай Storm-2949 използва уеб интерфейса на OneDrive, за да изтегли хиляди файлове с едно действие към собствената си инфраструктура”, отбелязва Microsoft. „Този модел на кражба на данни се повтаря във всички компрометирани потребителски акаунти, вероятно защото различните самоличности имат достъп до различни папки и споделени директории”.
Как да се защитим
За да се защитят от тази кампания, потребителите следва да ограничат разрешенията за Azure RBAC, да запазят регистрационните файлове (логовете) на Azure Key Vault за една година, да намалят достъпа до Key Vault и да ограничат публичния достъп до Key Vaults, препоръчва Microsoft.
Експертите по сигурност на компанията съветват също потребителите да използват опции за защита на данните в Azure Storage и да наблюдават високорисковите операции за управление на Azure.
