Команда безопасности Microsoft предупреждает, что киберпреступники используют систему OAuth, которую веб-сайты используют для проверки вашей личности.
Преступники захватывают учетные записи пользователей, чтобы получить особый доступ к системам. Взяв под контроль эти учетные записи, они могут манипулировать приложениями OAuth для получения широкого доступа и разрешений, тем самым способствуя различным формам киберпреступлений, включая незаконный майнинг криптовалюты.
Методы работы Использование приложений OAuth представляет собой сложную задачу.
Злоумышленники сначала компрометируют учетные записи пользователей с помощью фишинговых атак или атак с распылением паролей, особенно нацеливаясь на учетные записи, в которых отсутствуют надежные механизмы аутентификации. Эти учетные записи затем использовались для развертывания виртуальных машин для майнинга криптовалют, обеспечения устойчивости после возникновения BEC и запуска спам-кампаний с использованием ресурсов организации.
Microsoft тщательно отслеживает эти действия, чтобы улучшить обнаружение вредоносных приложений OAuth и предотвратить доступ скомпрометированных учетных записей к ресурсам с помощью таких инструментов, как Microsoft Defender для облачных приложений. Снижение риска Анализ этих атак, проведенный Microsoft, дает организациям некоторые рекомендации по снижению этой угрозы.
Во-первых, защита вашей инфраструктуры идентификации имеет решающее значение. В большинстве взломанных учетных записей не была включена многофакторная аутентификация (MFA). Это делает их уязвимыми для атак с подбором учетных данных. Внедрение MFA может значительно снизить риск таких атак. В дополнение к MFA Microsoft также рекомендует включить политики условного доступа и непрерывную оценку доступа для отзыва доступа в режиме реального времени при обнаружении риска. Параметры безопасности по умолчанию в Azure AD обеспечивают необходимую защиту для организаций, особенно тех, которые используют бесплатный уровень лицензирования Azure Active Directory. К ним относятся предварительно настроенные параметры безопасности, такие как MFA и защита от привилегированной активности. Организациям также рекомендуется проверять приложения и разрешения, которые они предоставляют, чтобы гарантировать соблюдение принципа минимальных привилегий.