Microsoft: social engineering-aanval via Teams probeert MFA te omzeilen
Een groep aanvallers maakt gebruik van Microsoft Teams voor het uitvoeren van social engineering-aanvallen, waarbij het doel is om multifactorauthenticatie (MFA) van de accounts van doelwitten te omzeilen. Tientallen organisaties zijn door de aanvallen getroffen, aldus Microsoft. Volgens het techbedrijf zit een vanuit Rusland opererende groep achter de aanvallen.
Voor het uitvoeren van de social engineering-aanval maken de aanvallers gebruik van de Microsoft 365-omgevingen van mkb-bedrijven die ze eerder hebben gecompromitteerd. De aanvallers wijzigen de naam van de gecompromitteerde omgeving, voegen een nieuw onmicrosoft.com subdomein toe, en voegen vervolgens een nieuwe gebruiker toe die aan dat domein is gekoppeld voor het versturen van het bericht naar het doelwit.
De aanvallers noemen de gecompromitteerde omgeving bijvoorbeeld "Microsoft Identity Protection" en gebruiken "teamsprotection.onmicrosoft.com" als afzender van het bericht. Daardoor kan het voor het doelwit lijken alsof het bericht van Microsoft afkomstig is. Bij de aanvallen beschikken de aanvallers al over de inloggegevens van het doelwit, maar kunnen vanwege MFA niet inloggen. Ook hebben de aanvallers het voorzien op gebruikers met wachtwoordloze authenticatie, waarbij gebruikers alleen een code moeten invoeren die via de Microsoft Authenticator-app op hun telefoon is gegenereerd.
Nadat de aanvaller op een account inlogt waarvoor MFA is vereist, krijgt die een code te zien die de gebruiker van het account in zijn authenticator-app moet invoeren. Zodra de aanvaller inlogt ontvangt de gebruiker op zijn telefoon een prompt die om deze code vraagt. De aanvaller stuurt het doelwit nu via Teams een bericht waarin wordt gevraagd om de meegestuurde code op de telefoon in te voeren. Als het doelwit de code van de aanvaller op zijn telefoon invoert ontvangt de aanvaller waarmee hij als de gebruiker kan inloggen.
Microsoft adviseert organisaties onder andere om phishingbestendige authenticatiemethodes uit te rollen. Ook moeten organisaties personeel onderwijzen om geen MFA-codes in te voeren die via ongevraagde berichten zijn verstuurd.
oh wat is het toch allemaal weer leuk iedereen aan de MFA want dat zou alles oplossen en nu weer dit. de techniek is er al lang niet meer voor de gemiddelde mens!
The attackers created new domains using compromised Microsoft 365 tenants with a technical support theme. These new domains were part of the 'onmicrosoft.com' domain, a legitimate Microsoft domain that is automatically used by Microsoft 365 for fallback purposes in case a custom domain is not created.
They then employed these domains to send tech support lures to deceive users from targeted organizations into approving multifactor authentication (MFA) prompts.
https://www.bleepingcomputer.com/news/security/russian-hackers-target-govt-orgs-in-microsoft-teams-phishing-attacks/
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
