11 december 2019

Avancerat nätfiske angriper Office 365-användare

Nätfiske i outlook

Säkerhetsforskare har upptäckt ett nytt sofistikerat nätfiske som använder en falsk Office 365-app för att få tillgång till konton utan att kräva att offren luras till att lämna ut sina uppgifter till angriparna. 

Nätfisket, som nyligen upptäcktes av PhishLabs inleds med ett ”traditionellt” falskt e-postmeddelande som imiterar en fildelning via OneDrive eller SharePoint. Så långt inget nytt under solen – det krävs med andra ord att mottagaren ska klicka på den bifogade delningslänken för att angreppet ska kunna fortskrida. Men så snart detta skett öppnar det för ett mycket allvarligt intrång. 

PhishLabs konstaterar att attacken i mångt och mycket liknar den som Google-användare drabbades av 2017, där angriparna missbrukade Google Docs-applikationsfunktionen. Den attacken påverkade mer än en miljon Google Docs-användare, vilket gjorde att angriparna fick full tillgång till e-postkonton och användarnas kontaktlistor.

Men som sagt, att med hjälp av enkla social engineering-tekniker locka offer att klicka på länkar är i sig inget speciellt avancerat, snarare är det ett mycket välkänt angreppssätt att nätfiskare försöker utnyttja trovärdigheten i allmänna affärsprocesser – som fildelningar, fakturor, lösenordåterställningar, falska säkerhetsvarningar och liknande.

Det speciella – och riktigt oroväckande – med den nyligen upptäcka attacken är att den utnyttjar värdnamnet login.microsoftonline.com som är helt legitimt och kontrolleras av Microsoft. Om offret besöker länken och inte redan är inloggad på ett Office365-konto kommer hen således att mötas av Microsofts legitima inloggningssida. Efter att offret har loggat in (eller om hen redan var inloggad) visas följande ruta:

En snabb titt på behörigheterna som denna app begär, ger alla med lite säkerhetsmedvetande smärre hjärtproblem. Om offret godkänner åtkomst, ger det appen (och angriparen som kontrollerar den) full kontroll över offrets Office 365-konto – såväl inkorgen och anteckningar som alla filer på OneDrive, och dessutom kan angriparen skicka e-post och se alla kontakter, vilket öppnar för att sprida attacken vidare på ett effektivt sätt. 

Den skadliga appen ska enligt PhishLabs ursprungligen ha skapats den 25 november i år, med hjälp av information från en legitim organisation. Detta beror sannolikt på att organisationen tidigare har komprometterats, vilket gör att angriparna kunnat utnyttja stulna utvecklarcertifikat när de byggde appen.

Missbrukar tilläggsmöjlighet i Microsofts Office

Men hur kan det egentligen fungera så här, har inte Microsoft koll på sina applikationer? Det är inte riktigt så enkelt. Tillägg för Office, i det här fallet Outlook, är enkelt förklarat applikationer som utökar Outlooks funktionalitet genom att lägga till information eller verktyg som dina användare kan använda utan att behöva lämna Outlook. Tillägg byggs av tredjepartsutvecklare och kan installeras antingen från en fil, en url eller från Office Store.

Som standard kan alla användare installera egna tillägg för sin Outlook-applikation (administratörer kan dock styra om användare ska kunna installera tillägg för Office). Dessutom tillåter Microsoft att Office 365-tillägg och appar installeras via direktnedladdning från url:er utan att behöva gå igenom Office Stores granskningsprocesser. 

Detta innebär dock att angripare potentiellt kan leverera en skadlig app från infrastrukturen som de kontrollerar till alla användare som klickar på en länk och godkänner de begärda behörigheterna. I det här fallet är resultatet att offret lämnar ifrån sig fullständig kontroll över sitt Office 365-konto och i förlängningen dessvärre även alla system som utnyttjar en single-sign-on-metod som förlitar sig på användarens Office 365-konto, till exempel SAML eller OAuth. 

Så skyddar du dig och din organisation

Att bara ändra sitt kontolösenord (den vanligaste åtgärden mot ett potentiellt intrång) räcker i det här fallet inte för att stänga ute angriparen – appen måste plockas bort helt och hållet från kontot.

Så, hur kan du på ett tidigt plan identifiera mailet som initierar attacken? Det är inte helt enkelt, eftersom det till det yttre dels ser ut att vara ett legitimt mail med delning från SharePoint eller OneDrive, och dels oftast har en förfalskad avsändare från din egen organisations domän. Men följande indikatorer bör du uppmärksamma:  

Domäninformation. Den skadliga appen laddas via url:en https://officemtr{dot}com:8081/office
• Ämnesraden. Filen “[Företagets namn] Q4-rapport – Dec19(1).xlsx” har delats med dig. (oftast på engelska, men det finns misstankar om att den översätts och anpassas).
• Skyddad avsändaradress. Den avsändande adressen är förfalskad, men PhishLabs har observerat att flertalet e-postmeddelanden härstammar från en mailserver med ip-numret 31.7.59.82.

Åtgärder du bör vidta om du misstänker att den här typen av mail skickats till din organisation är att först och främst informera alla om att absolut inte klicka på några länkar. Scanna därefter alla e-postmeddelanden som redan har levererats och ta bort dem från användarnas inkorgar. 

I förebyggande syfte kan du begränsa möjligheten för Office 365-användare att installera appar som inte laddas ner från den officiella Office Store eller som inte har godkänts av kontoadministratören. Öka också dina användares säkerhetsmedvetenhet genom att lära dem att undersöka ALLA aspekter av ett misstänkt e-postmeddelande – inte bara webbadresser och avsändarens adress, eftersom detta ofta inte är tillräckligt vid nätfiskeattacker där legitima tjänster missbrukas.

Kontrollera också regelbundet alla appar eller tillägg som är installerade i din miljö. Läs gärna Microsofts guide kring hur du kan utreda och hantera riskfyllda appar.


Läs även:
Nio av tio molnintrång inträffar på grund av anställdas misstag
10 budord för din IT-säkerhet
Lösenord fortfarande svag länk – nya tekniker krävs
Svårt att avvärja insiderhot
Slarv med fysisk säkerhet öppnar för dataintrång

«

»