Microsoft 365 омилен за напади во текот на пандемијата

15.10.2020. / 14:19

Во новото истражување кое го направи компанијата Vectra AI се наведува дека хакерите користат легитимни услуги и алатки внатре во пакетот за продуктивност на Microsoft за да покренат дигитални напади врз лица кои работат од дома во текот на КОВИД-19.

Учесниците во заканите доследно користат легитимни услуги и алатки внатре во системот Microsoft Office 365 за да украдат чувствителни податоци и да покренат кражба на идентитети (фишинг), ransomware и други напади преку корпоративните мрежи од трајната позиција внатре во пакетите сместени во облак, покажало нивното истражување под назив Извештај под лупа 2020.

„Преземањето на корисничкиот налог од системот Office 365, особено во текот на пандемијата со КОВИД-19, е еден од најефикасните начини напаѓачот да се уфрли во мрежата на организациите“, кажал за ThreatPost, Крис Моралес, раководителот на безбедносната аналитика во фирмата Vectra AI .

Од таа позиција напаѓачите можат да покренуваат различни напади, нешто што истражувачите/ките го забележале кај 96% од 4 милиони клиенти/ки на системот Office 365 предизвикани помеѓу јуни и август 2020.

Моралес понатаму наведува дека очекуваат дека трендот на ваквите напади ќе се засили во месеците што доаѓаат.

Во извештајот се зборува за некои од најпопуларните начини на кои напаѓачите ги користат услугите и алатките на Office 365 за загрозување на корпоративните мрежи. Всушност, Office 365 дава широко игралиште за напаѓачите. Водечкиот пакет на продуктивноста на софтверот како услуги (SaaS) има повеќе од 250 милиони активни корисници/чки секој месец, што го направило голема мета на хакери.

„Многу од тие корисници/чки моментално работат од дома поради ограничувањата со КОВИД-19, често на мрежите кои немаат иста заштита како корпоративен облак. Тоа му додава на напаѓачот уште еден аспект на пристапност“, кажал Моралес.

Истражувачите/ките пронашле три клучни параметри на пакетот кој напаѓачите го искористуваат за да ги преземат налозите и да продолжат да изведуваат разни напади: OAuth, Power Automate и eDiscovery.

"OAuth се користи за воспоставување на упориштето, Power Automate се користи за командување и контрола и странично движење, а eDiscovery се користи за извидување и ексфилтрација“, кажал Моралес за Threatpost.

Откако напаѓачите ќе искористат некој од овие параметри, постои низа техники што ги користат за загрозување на мрежите. Тие можат да пребаруваат е-маил, историја на четот и датотеки барајќи шифри или интересни податоци за исфрлување или да постават правила за проследување за да добијат пристап до постојаниот проток на вашиот е-маил без потреба за повторно пријавување, се наведува во извештајот.

За да ги ублажат овие закани, истражувачите им препорачуваат на организациите да се оддалечат од примената на статички, еднократни ублажувања насочени кон политиката на контрола, засновани врз превенција и да преминат на поконтекстуален пристап кон безбедноста, кажал Моралес.

„Овие пристапи и понатаму пропаѓаат. Безбедносните тимови мораат да имаат детален контекст кој објаснува како ентитетите ги користат своите привилегии, познати како набљудувани привилегии, внатре во SaaS апликациите како што е Office 365. Токму како што напаѓачите ги набљудуваат или склучуваат интеракциите помеѓу ентитетите, бранителите би требале слично да размислуваат за своите противници. Станува збор за обрасци за користење и однесување, а не за статичен пристап.“ – заклучува Моралес.

Имајќи предвид дека новинарите/ките, но и редакциите, го користат Office 365, веруваме дека овие информации се мошне значајни. Редакциите мораат да се грижат за безбедноста на своите новинари/ки кои неретко работат од дома.

Ocijenite kvalitet članka