Bollettino dei cyberattacchi: Difesa contro il ransomware Codefinger in AWS S3

Bollettino dei cyberattacchi: Difesa contro il ransomware Codefinger in AWS S3

Vectra AI Giappone, ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Icona dell'hamburger in alto
Icona dell'hamburger linea centrale
Icona dell'hamburger linea di fondo

Gli strumenti e i servizi aperti di Office 365 che gli aggressori amano utilizzare

19 ottobre 2020
Vectra AI Team di ricerca sulla sicurezza
Sicurezza informatica
Gli strumenti e i servizi aperti di Office 365 che gli aggressori amano utilizzare

La nostra ricerca recentemente pubblicata nel 2020 Spotlight Report per Office 365 identifica gli strumenti e i servizi all'interno dell'applicazione cloud comunemente sfruttati dagli aggressori. Osservando 4 milioni di account Office 365 per un periodo di 90 giorni, siamo stati in grado di identificare comportamenti sospetti ad alto rischio associati a tecniche di attacco che sfruttano le funzionalità integrate di Office 365.

Questa ricerca coincide con un'enorme transizione verso il lavoro da remoto, risultato della pandemia COVID-19 in corso, e con la crescente adozione di piattaforme SaaS, come Microsoft Office 365, come spazi di lavoro digitali di uso quotidiano. Se da un lato Office 365 fornisce alla forza lavoro distribuita un dominio primario per condurre le attività, dall'altro crea un repository centrale di dati e informazioni che è un obiettivo primario da sfruttare per gli aggressori.

Sebbene l' autenticazione a più fattori (MFA) sia la tecnica migliore per ridurre la possibilità di una violazione, le violazioni di Office 365 continuano a verificarsi. Le misure di sicurezza MFA non sono più sufficienti a scoraggiare gli attacchi malevoli e insidiosi. Tra questi attacchi, le violazioni per l'acquisizione di account sono quelle in più rapida crescita e più diffuse, con un impatto negativo sulla reputazione delle organizzazioni e conseguenze finanziarie.

strumenti comunemente utilizzati in Microsoft Office 365


Comportamenti dell'attaccante in Office 365

Dopo che gli aggressori hanno preso piede in un ambiente Office 365, possono verificarsi diverse tecniche comuni, tra cui:  

  1. Ricerca di e-mail, cronologia delle chat e file alla ricerca di password o altri dati interessanti.
  2. Impostazione di regole di inoltro per ottenere l'accesso a un flusso costante di e-mail senza dover effettuare nuovamente il login
  3. Sfruttare il canale di comunicazione di fiducia (ad esempio, l'invio di un'e-mail illegittima dall'account ufficiale dell'amministratore delegato, utilizzato per fare ingegneria sociale a dipendenti, clienti o partner).
  4. L'inserimento di malware o link dannosi in documenti di cui molte persone si fidano e che utilizzano, manipolando di nuovo la fiducia per eludere i controlli di prevenzione che possono attivare gli avvisi.
  5. Rubare o tenere in ostaggio file e dati a scopo di riscatto

Come lo fanno?

Lo Spotlight Report ha rilevato che tra i servizi di Office 365, tre in particolare si sono rivelati utili per un attacco. OAuth viene utilizzato per stabilire un punto d'appoggio e la persistenza, Power Automate per il comando e il controllo e il movimento laterale e eDiscovery per la ricognizione e l'esfiltrazione.

1. OAuth è uno standard aperto per l'autenticazione degli accessi.

spesso utilizzato da applicazioni di terze parti per autenticare gli utenti utilizzando i servizi di login di Office 365 e le credenziali associate all'utente. Il codice di autorizzazione OAuth può essere utilizzato nelle applicazioni installate su un dispositivo per ottenere l'accesso a risorse protette, come le API web. Gli aggressori sfruttano le applicazioni Azure dannose abilitate a OAuth per mantenere l'accesso persistente agli account Office 365 degli utenti.

2. Power Automate permette agli utenti di creare integrazioni personalizzate e flussi di lavoro automatizzati tra le applicazioni di Office 365.

È abilitato per impostazione predefinita e include connettori a centinaia di applicazioni e servizi di terze parti, ma i flussi possono aggirare i criteri di sicurezza, compresa la prevenzione della perdita di dati (DLP). L'ampia disponibilità e la facilità d'uso di Power Automate lo rendono anche uno strumento parzialmente utile agli aggressori per orchestrare comportamenti malevoli di command-and-control e lateral movement.

3. eDiscovery è uno strumento di ricerca elettronica che effettua ricerche nelle applicazioni e nei dati di Office 365 ed esporta i risultati.

Gli aggressori utilizzano l'eDiscovery come potente strumento di ricognizione interna e di esfiltrazione dei dati: ad esempio, possono cercare "password" o "pwd" in Microsoft Outlook, Teams, tutti i file di SharePoint e OneDrive e i taccuini di OneNote con un semplice comando.  

Inoltre, gli aggressori possono sfruttare le vulnerabilità riscontrate in Azure Active Directory, Exchange e SharePoint una volta acquisite e sfruttate le credenziali di identità e l'accesso privilegiato. Gli aggressori possono aumentare i privilegi ed eseguire operazioni a livello di amministratore dopo un'acquisizione regolare dell'account. Gli avversari avranno anche effettuato il provisioning dell'accesso a un ruolo sensibile per creare un accesso ridondante al sistema.

Questo non vuol dire che i servizi di Office 365 siano facili da infiltrare; piuttosto, il problema sono le autorizzazioni assegnate all'utente e il modo in cui vengono utilizzate. I team di sicurezza devono disporre di un contesto dettagliato che spieghi come le entità utilizzano i loro privilegi, noti come privilegi osservati, all'interno di applicazioni SaaS come Office 365.

Questo significa capire come gli utenti accedono alle risorse di Office 365 e da dove, ma senza esaminare l'intero carico di dati per proteggere la privacy. Si tratta di modelli e comportamenti di utilizzo, non di accessi statici.

Cosa fare per ridurre il rischio

  1. Limitare l'uso o rimuovere la licenza interna di Power Automate dagli utenti di Office 365 che non hanno casi d'uso legittimi.
  2. Rivedere le politiche di prevenzione della perdita di dati di Office 365 e utilizzare una "zona aziendale" per limitare l'accesso di Power Automate ai dati aziendali.
  3. Limitare l'accesso all'eDiscovery ai soli utenti di Office 365 che hanno casi d'uso legittimi.
  4. Rilevamento e risposta alle minacce in tempo reale per identificare l'uso sospetto e dannoso degli strumenti e dei servizi di Office 365.

L'importanza di tenere sotto controllo l'uso improprio dell'accesso degli utenti non può essere sopravvalutata, data la sua prevalenza negli attacchi del mondo reale. Nell'attuale panorama della cybersecurity, misure di sicurezza come l'autenticazione a più fattori non sono più sufficienti a scoraggiare gli aggressori. Le piattaforme SaaS come Office 365 sono un rifugio sicuro per i movimenti laterali degli aggressori, per cui è fondamentale concentrarsi sull'accesso degli utenti agli account e ai servizi. Quando i team di sicurezza dispongono di informazioni e aspettative solide sulle piattaforme SaaS come Office 365, i comportamenti dannosi e l'abuso di privilegi sono molto più facili da identificare e mitigare rapidamente.

Distribuito in pochi minuti senza agenti, Vectra Detect for Office 365 offre visibilità della superficie di attacco di Office 365 e consente di:

  • Rilevare attività di account sospette, come ad esempio più tentativi di accesso falliti seguiti da un successo, e quali account sono stati utilizzati in entrambi gli scenari.  
  • Attenzione alla creazione di flussi Power Automate, all'aggiunta di nuovi account e all'installazione di applicazioni dannose.  
  • Scoprire l'escalation dei privilegi, compresa l'aggiunta di utenti ai gruppi.

Lo Spotlight Report di Vectra 2020 su Office 365 dimostra il valore del rilevamento e della risposta di rete (NDR) quando si tratta di scoprire gli attacchi e consentire ai team di sicurezza di bloccare eventuali principi dannosi installati a causa di movimenti laterali.  

DOMANDE FREQUENTI