image

Microsoft: social engineering-aanval via Teams probeert MFA te omzeilen

donderdag 3 augustus 2023, 11:50 door Redactie, 6 reacties

Een groep aanvallers maakt gebruik van Microsoft Teams voor het uitvoeren van social engineering-aanvallen, waarbij het doel is om multifactorauthenticatie (MFA) van de accounts van doelwitten te omzeilen. Tientallen organisaties zijn door de aanvallen getroffen, aldus Microsoft. Volgens het techbedrijf zit een vanuit Rusland opererende groep achter de aanvallen.

Voor het uitvoeren van de social engineering-aanval maken de aanvallers gebruik van de Microsoft 365-omgevingen van mkb-bedrijven die ze eerder hebben gecompromitteerd. De aanvallers wijzigen de naam van de gecompromitteerde omgeving, voegen een nieuw onmicrosoft.com subdomein toe, en voegen vervolgens een nieuwe gebruiker toe die aan dat domein is gekoppeld voor het versturen van het bericht naar het doelwit.

De aanvallers noemen de gecompromitteerde omgeving bijvoorbeeld "Microsoft Identity Protection" en gebruiken "teamsprotection.onmicrosoft.com" als afzender van het bericht. Daardoor kan het voor het doelwit lijken alsof het bericht van Microsoft afkomstig is. Bij de aanvallen beschikken de aanvallers al over de inloggegevens van het doelwit, maar kunnen vanwege MFA niet inloggen. Ook hebben de aanvallers het voorzien op gebruikers met wachtwoordloze authenticatie, waarbij gebruikers alleen een code moeten invoeren die via de Microsoft Authenticator-app op hun telefoon is gegenereerd.

Nadat de aanvaller op een account inlogt waarvoor MFA is vereist, krijgt die een code te zien die de gebruiker van het account in zijn authenticator-app moet invoeren. Zodra de aanvaller inlogt ontvangt de gebruiker op zijn telefoon een prompt die om deze code vraagt. De aanvaller stuurt het doelwit nu via Teams een bericht waarin wordt gevraagd om de meegestuurde code op de telefoon in te voeren. Als het doelwit de code van de aanvaller op zijn telefoon invoert ontvangt de aanvaller waarmee hij als de gebruiker kan inloggen.

Microsoft adviseert organisaties onder andere om phishingbestendige authenticatiemethodes uit te rollen. Ook moeten organisaties personeel onderwijzen om geen MFA-codes in te voeren die via ongevraagde berichten zijn verstuurd.

Image

Reacties (6)
03-08-2023, 12:54 door Anoniem
Voor het uitvoeren van de social engineering-aanval maken de aanvallers gebruik van de Microsoft 365-omgevingen van mkb-bedrijven die ze eerder hebben gecompromitteerd
Dit vind ik veel erger. Er is blijkbaar veel mis met Microsoft 365 en zou voor de overheid net als whatsapp en facebook etc verboden moeten worden.
03-08-2023, 13:26 door Anoniem
"Ook moeten organisaties personeel onderwijzen om geen MFA-codes in te voeren die via ongevraagde berichten zijn verstuurd."

oh wat is het toch allemaal weer leuk iedereen aan de MFA want dat zou alles oplossen en nu weer dit. de techniek is er al lang niet meer voor de gemiddelde mens!
03-08-2023, 15:15 door Anoniem
Waarschijnlijk ging dit er aan vooraf:
The attackers created new domains using compromised Microsoft 365 tenants with a technical support theme. These new domains were part of the 'onmicrosoft.com' domain, a legitimate Microsoft domain that is automatically used by Microsoft 365 for fallback purposes in case a custom domain is not created.

They then employed these domains to send tech support lures to deceive users from targeted organizations into approving multifactor authentication (MFA) prompts.

https://www.bleepingcomputer.com/news/security/russian-hackers-target-govt-orgs-in-microsoft-teams-phishing-attacks/
03-08-2023, 18:12 door Anoniem
Door Anoniem:
Voor het uitvoeren van de social engineering-aanval maken de aanvallers gebruik van de Microsoft 365-omgevingen van mkb-bedrijven die ze eerder hebben gecompromitteerd
Dit vind ik veel erger. Er is blijkbaar veel mis met Microsoft 365 en zou voor de overheid net als whatsapp en facebook etc verboden moeten worden.
Waar staat dat whatsapp en facebook verboden is voor de overheid ?
04-08-2023, 10:36 door Anoniem
Door Anoniem:
Door Anoniem:
Voor het uitvoeren van de social engineering-aanval maken de aanvallers gebruik van de Microsoft 365-omgevingen van mkb-bedrijven die ze eerder hebben gecompromitteerd
Dit vind ik veel erger. Er is blijkbaar veel mis met Microsoft 365 en zou voor de overheid net als whatsapp en facebook etc verboden moeten worden.
Waar staat dat whatsapp en facebook verboden is voor de overheid ?
Dat staat er niet. Zo moeilijk is begrijpend lezen niet hoor.
04-08-2023, 15:20 door Anoniem
Lekker verwarrend met steeds weer nieuwe naamgevingen:
Office 365 is nu Microsoft 365
Azure Active Directory is nu Microsoft Entra ID
NOBELIUM is nu Midnight Blizzard
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.