Microsoft 365, i preferuari për sulme gjatë pandemisë

15.10.2020. / 14:02

Një studim i ri i realizuar nga Vectra AI tregon se hakerët përdorin shërbime dhe vegla legjitime brenda paketës së produktivitetit të Microsofti për të nisur sulme digjitale ndaj njerëzve që punojnë nga shtëpia gjatë pandemisë COVID-19.

Pjesëmarrësit e kërcënimeve vazhdimisht përdorin shërbime dhe vegla legjitime brenda sistemit Microsoft Office 365 për të vjedhur të dhëna të ndjeshme dhe për të bërë vjedhje të identitetit (phishing), ransomware dhe sulme të tjera përmes rrjeteve të korporatave nga një pozicion i përhershëm brenda paketave të vendosura në cloud – tregon hulumtimi i tyre i quajtur Report under loop 2020.

"Marrja përsipër e llogarisë së Office 365, veçanërisht gjatë pandemisë COVID-19, është një nga mënyrat më efektive që një sulmues të futet në rrjetin e një organizate", tha për ThreatPost,  Chris Morales, shef i analizave të sigurisë në kompaninë Vectra AI.

Nga ky pozicion, sulmuesit mund të inicojnë sulme të ndryshme, diçka që hulumtuesit vunë re në 96% të 4 milion klientëve të sistemit Office 365 të shkaktuara nga qershori deri në gushtit 2020.

Morales tutje thekson se ata presin që trendi i sulmeve të tilla të intensifikohet në muajt e ardhshëm.

Në raport përmenden disa nga mënyrat më të njohura se si sulmuesit përdorin shërbimet dhe veglat e Office 365 për të komprometuar rrjetet e korporatave. Ç'është e vërteta, Office 365 ofron arenë të gjerë për sulmuesit. Paketa kryesore e produktivitetit të softuerit si shërbime (SaaS) ka më shumë se 250 milionë përdorues aktivë çdo muaj, duke e bërë atë cak kryesor për hakerët.

"Shumë nga këta përdorues aktualisht po punojnë nga shtëpia për shkak të kufizimeve të pandemisë COVID-19, shpesh me rrjete që nuk kanë të njëjtën mbrojtje si cloud-i i korporatave. Kjo i shton një tjetër aspekt qasjes së sulmuesit", tha Morales.

Hulumtuesit kanë gjetur tre parametra kryesorë të paketës që sulmuesit përdorin për të marrë përsipër llogari dhe për të realizuar edhe sulme të tjera: OAuth, Power Automate dhe eDiscovery.

"OAuth përdoret për krijimin e një fortese, Power Automate përdoret për të komanduar dhe kontrolluar dhe për lëvizje anësore, dhe eDiscovery përdoret për zbulim dhe eksfiltrim", tha Morales për Threatpost.

Sapo sulmuesit e shfrytëzojnë ndonjërin prej këtyre parametrave, ka disa teknika që ata përdorin për të komprometuar rrjetet. Ata mund të kërkojnë nëpër email, histori të bisedave dhe datoteka për fjalëkalime ose të dhëna interesante, ose të vendosin rregulla të shkëmbimit për të pasur qasje në rrjedhën e vazhdueshme të email-it tuaj pa pasur nevojë të hyjnë përsëri – thuhet në raport.

Për t'i zbutur këto kërcënime, studiuesit rekomandojnë që organizatat të largohen nga aplikimi i politikave të kontrollit statik, afatshkurtë, të orientuar drejt politikave të zbutjes të bazuara në parandalim, dhe të kalojnë në një qasje më kontekstuale të sigurisë, tha Morales.

"Këto qasje vazhdojnë të dështojnë. Ekipet e sigurisë duhet të kenë kontekst të detajuar që shpjegon se si entitetet përdorin privilegjet e tyre, të njohura si privilegje të vëzhguara, brenda aplikacioneve të SaaS-së siç është Office 365. Ashtu siç sulmuesit i vëzhgojnë ose i përmbyllin ndërveprimet midis entiteteve, edhe mbrojtësit duhet të mendojnë në mënyrë të ngjashme lidhur me kundërshtarët e tyre. Këtu kemi të bëjmë me modelet e shfrytëzimit dhe të sjelljes, e jo për qasjen statike" – përfundon Morales.

Duke qenë se gazetarët dhe redaksitë përdorin Office 365, ne besojmë se ky informacion është shumë i rëndësishëm. Redaksitë duhet të kujdesen për sigurinë e gazetarëve të tyre, të cilët shpesh punojnë nga shtëpia.

Ocijenite kvalitet članka