Microsoft Beri Tips Lindungi Diri dari Serangan Siber



TL;DR
  • Microsoft memberikan tips untuk melindungi diri dari serangan siber.
  • Serangan dilakukan oleh kelompok negara-negara yang menggunakan aplikasi OAuth berbahaya.
  • Penyerang menggunakan token OAuth untuk tetap mengakses aplikasi meski akun diretas.
Microsoft Beri Tips Lindungi Diri dari Serangan Siber - picture from: darkreading - pibitek.biz - Deteksi

picture from: darkreading


336-280

pibitek.biz - Microsoft baru-baru ini memberikan tips bagi organisasi untuk melindungi diri dari serangan siber yang dilakukan oleh kelompok negara-negara. Serangan ini berhasil menyusup ke sistem email korporat Microsoft beberapa hari lalu. Salah satu fokus dari tips ini adalah bagaimana organisasi bisa mencegah kelompok siber jahat menggunakan aplikasi OAuth yang berbahaya.

Aplikasi ini bisa menyembunyikan aktivitas mereka dan tetap mengakses aplikasi lain, meski sudah diusir. Serangan ke Microsoft ini dilakukan oleh Midnight Blizzard alias Cozy Bear, sebuah kelompok yang berafiliasi dengan dinas intelijen Rusia (SVR). Akibatnya, akun email beberapa karyawan Microsoft, termasuk pimpinan tinggi, berhasil diretas.

Selama beberapa minggu sejak akhir November 2023, para penyerang mengakses akun email korporat Microsoft dan mencuri email dan lampiran dokumen. Tujuannya adalah untuk mengetahui informasi apa yang dimiliki Microsoft tentang Midnight Blizzard. Sebuah dokumen SEC yang muncul minggu ini menunjukkan bahwa kelompok siber ini, yang sudah diidentifikasi oleh pemerintah AS sebagai pelaku peretasan SolarWinds, juga menyerang lingkungan email berbasis cloud milik Hewlett Packard Enterprise (HPE) pada Mei lalu.

Serangan-serangan ini diduga bagian dari upaya pengumpulan intelijen yang lebih luas dan berkelanjutan oleh SVR/Midnight Blizzard untuk kampanye masa depan. Dalam blognya tanggal 19 Januari yang mengungkap serangan ini, Microsoft menjelaskan bahwa Midnight Blizzard mendapatkan akses awal ke lingkungannya melalui akun tes lama yang tidak diproduksi. Akun ini diretas melalui serangan password spray.

Penyelidikan lebih lanjut oleh perusahaan, yang dijelaskan dalam blog terbarunya minggu ini, menunjukkan bahwa para penyerang Midnight Blizzard menggunakan "jumlah besar" alamat IP resmi dari rumah-rumah untuk melancarkan serangan password spray ke akun-akun target di Microsoft, salah satunya adalah akun tes yang diretas. Penggunaan infrastruktur proxy resmi ini membantu mereka menyamarkan aktivitas dan menghindari deteksi, kata Microsoft. Setelah penyerang mendapatkan akses awal ke akun tes, mereka menggunakannya untuk mengidentifikasi dan meretas aplikasi OAuth tes lama yang memiliki akses istimewa ke lingkungan korporat Microsoft.

Kemudian, "penyerang membuat aplikasi OAuth jahat tambahan", kata Microsoft. "Mereka membuat akun pengguna baru untuk memberikan izin di lingkungan korporat Microsoft ke aplikasi OAuth jahat yang dikendalikan penyerang". Penyerang menggunakan aplikasi OAuth lama yang diretas untuk memberikan diri mereka akses penuh ke kotak surat Exchange Office 365, kata Microsoft.

"Penyalahgunaan OAuth juga memungkinkan penyerang untuk tetap mengakses aplikasi, bahkan jika mereka kehilangan akses ke akun yang diretas awalnya", kata perusahaan itu. Tal Skverer, pemimpin tim peneliti di Astrix Security, mengatakan bahwa para penyerang Midnight Blizzard memanfaatkan token OAuth jahat karena mereka mungkin tahu bahwa akses mereka ke akun yang diretas akan terdeteksi. "Jika dilihat dari ketatnya pengawasan yang dilakukan terhadap akun pengguna ? manusia ? dalam hal keamanan, keberhasilan serangan password spray dalam kasus ini hanya sebentar", katanya.

"Jadi, selama mereka punya [akses], mereka membuat aplikasi OAuth dan memberikan izin kepadanya, menghasilkan token akses OAuth yang tidak kadaluarsa untuk penyerang". Beberapa izin ini bisa bertahan bahkan jika akun yang diretas awalnya dinonaktifkan atau dihapus, sehingga penyerang bisa tetap mengakses meski kehilangan akses melalui akun yang diretas awalnya, kata Skverer. Blog Microsoft tanggal 25 Januari memberikan tips bagi organisasi untuk mengurangi risiko terkait penyalahgunaan aplikasi OAuth.

Tips ini termasuk perlunya organisasi mengaudit tingkat hak istimewa yang terkait dengan semua identitas ? baik pengguna maupun layanan ? dan fokus pada yang memiliki hak istimewa tinggi. "Hak istimewa harus diteliti lebih cermat jika ia dimiliki oleh identitas yang tidak dikenal, terpasang pada identitas yang tidak lagi digunakan, atau tidak sesuai dengan tujuannya", kata Microsoft. Saat meninjau hak istimewa, administrator harus ingat bahwa pengguna dan layanan sering memiliki hak istimewa lebih dari yang mereka butuhkan, kata blog itu.

Organisasi juga harus mengaudit identitas yang memiliki hak istimewa ApplicationImpersonation di Exchange Online yang memungkinkan layanan meniru pengguna dan melakukan operasi yang sama dengan yang bisa dilakukan pengguna, kata Microsoft. "Jika salah konfigurasi, atau tidak dibatasi dengan tepat, identitas ini bisa memiliki akses luas ke semua kotak surat di lingkungan", kata perusahaan itu. Organisasi juga harus mempertimbangkan menggunakan kebijakan deteksi anomali untuk mengidentifikasi aplikasi OAuth jahat dan kontrol akses bersyarat untuk pengguna yang terhubung dari layanan yang tidak dikelola, kata Microsoft.

Blog itu juga mencakup tips rinci tentang apa yang harus dicari dalam data log untuk mencari dan mendeteksi aktivitas jahat seperti yang terkait dengan Midnight Blizzard. Skverer mengatakan bahwa alat pengelolaan postur bisa membantu organisasi menginventarisasi semua identitas non-manusia (NHI) di lingkungannya, terutama yang paling berisiko. "Khusus untuk TTPS yang digunakan oleh Midnight Blizzard, alat ini akan menyoroti aplikasi OAuth yang tidak digunakan, yang memiliki akses terlalu banyak untuk meniru setiap pengguna saat mengotentikasi ke Exchange Office 365", katanya.