ФБР предупреждает о новой фишинговой угрозе для Microsoft 365

Федеральное бюро расследований (ФБР) опубликовало предупреждение о новой фишинговой схеме "Фишинг как услуга" (PhaaS), получившей название Kali365. Эта угроза нацелена на учетные записи Microsoft 365, используя сложные, но легкодоступные методы атак.

Сервис Kali365 PhaaS позволяет злоумышленникам получать постоянный доступ к корпоративным средам Microsoft 365 путем кражи токенов OAuth (открытый стандарт авторизации, который предоставляет веб-сайтам или приложениям "безопасный делегированный доступ" к серверным ресурсам от имени пользователя). Для этого используются фишинговые электронные письма, сгенерированные с помощью искусственного интеллекта, которые перенаправляют пользователей на подлинные страницы проверки подлинности Microsoft. Получив токен OAuth, киберпреступники могут беспрепятственно пользоваться сервисами Outlook, Teams и OneDrive без необходимости проходить дополнительную верификацию или аутентификацию.

Подобные фишинговые кампании основаны на человеческом факторе для взлома учетных записей. Однако существуют действенные меры, которые организации могут предпринять для защиты своих аккаунтов и всей среды Microsoft 365 от угрозы Kali365 PhaaS.

Повышение осведомленности о фишинге

Фишинговые письма принимают различные формы: от приглашений на собеседование до запросов на доступ к документам. Злоумышленники активно используют инструменты искусственного интеллекта для создания чрезвычайно убедительных писем, способных обходить спам-фильтры и сливаться с обычным рабочим трафиком.

ИТ-администраторам рекомендуется следить за последними рекомендациями и аналитическими отчетами о текущих тенденциях и кампаниях фишинга. Кроме того, сотрудники должны проходить регулярное обучение с использованием симуляций, имитирующих реальные тактики, методы и процедуры, применяемые хакерами. Это позволит им распознавать и сообщать о подозрительных письмах. Пользователям также следует быть внимательными к неожиданным запросам на аутентификацию в учетных записях Microsoft, особенно если они не предпринимали попыток входа в систему.

Политики условного доступа

ФБР рекомендует включить политики условного доступа, которые блокируют поток кода устройства (device code flow) для всех пользователей. Блокировка этого потока препятствует ключевому механизму перехвата кода OAuth, используемому в Kali365.

В сценарии атаки Kali365 злоумышленник отправляет предварительно сгенерированный код устройства со своего устройства на легитимную страницу проверки подлинности Microsoft. Затем жертва вводит этот код на странице аутентификации, тем самым санкционируя вход злоумышленника в свою учетную запись. После этого хакер похищает токены доступа и обновления OAuth, что позволяет ему получить доступ к Outlook, Teams и OneDrive без необходимости ввода пароля или дополнительной аутентификации.

Заблокировав данный метод аутентификации, даже если жертва поддастся фишингу и введет код, попытка входа злоумышленника окажется безуспешной. Однако перед повсеместным применением блокировки потока кода устройства важно провести аудит существующего использования, чтобы выявить, где этот метод аутентификации применяется на законных основаниях. Блокирование легитимного использования может нарушить повседневные операции в некоторых ситуациях.

Блокировка политик переноса аутентификации

Для удобства пользователей Microsoft 365 компания Microsoft предусмотрела возможность использования доверенного устройства для сканирования QR-кода, отображаемого на другом устройстве, для аутентификации входа. Однако эта удобная функция упрощает злоумышленникам процесс аутентификации собственных сессий в учетной записи жертвы после кражи токенов OAuth. Получив доступ к учетной записи жертвы, хакер может использовать свое "новое доверенное" устройство для подтверждения собственных запросов на доступ к аккаунту.

Блокирование политик переноса аутентификации не только препятствует аутентификации сессий злоумышленников, но и помогает предотвратить вход сотрудников с неуправляемых личных устройств, что может поставить под угрозу корпоративные данные.

Мнение экспертов

Дебора Галеа, эксперт по кибербезопасности из Filigran, прокомментировала атаки Kali365, отметив, что платформы "Фишинг как услуга" (PhaaS), подобные Kali365, становятся все более распространенными. Это превращает хакерство в высококоммерциализированный бизнес по подписке, что значительно снижает порог входа для злоумышленников, позволяя им использовать готовые комплекты вместо создания инфраструктуры с нуля. По ее словам, Kali365 особенно опасна, поскольку она обходит многофакторную аутентификацию (MFA) без кражи учетных данных и позволяет хакерам перехватывать учетные записи Microsoft 365. Галеа советует компаниям внедрять превентивные меры, такие как ограничение потока кода устройства, блокировка переноса аутентификации и использование MFA, устойчивой к фишингу.

Андреа Сивиери, директор по продуктам и технологиям CoreView, добавил, что предупреждение ФБР о Kali365 подтверждает тенденцию, наблюдаемую в корпоративных средах Microsoft 365 уже несколько месяцев. Отмечается, что злоумышленники больше не "взламывают" Microsoft 365; вместо этого они "входят в систему", используя функции, изначально предназначенные Microsoft для легитимных целей. Поток кода устройства, например, существует по уважительной причине – он используется для входа в учетную запись через смарт-телевизоры и устройства Интернета вещей. Злоумышленники же просто осознали, что это отличный примитив для фишинга, поскольку пользователь сам нажимает "одобрить" на реальной странице Microsoft.

Сивиери подчеркивает, что многофакторная аутентификация (MFA) не может защитить в сценарии, когда пользователь сам выполняет MFA для злоумышленника. Он выразил сожаление по поводу того, что главная рекомендация ФБР – блокировка потока кода устройства через политику условного доступа – может быть реализована любым администратором Microsoft 365 немедленно. Однако большинство организаций не делают этого, поскольку условный доступ в реальной корпоративной среде представляет собой разрозненный набор политик, измененных множеством людей в течение многих лет. Никто не уверен, что именно будет нарушено при блокировке одного потока, поэтому политика остается открытой, а злоумышленники продолжают свою деятельность.

Эксперт делает вывод, что для любой организации, ведущей бизнес на базе Microsoft 365, есть более важный урок: следующий крупный взлом не начнется с эксплуатации уязвимости хакером. Он начнется с того, что сотрудника вежливо попросят выполнить легитимное действие внутри легитимного продукта Microsoft. Защитой служит не лучшая технология, а видимость в реальном времени того, что фактически меняется в среде, и дисциплина в пересмотре устаревающих политик безопасности.