Il malware EvilProxy ruba i token di sessione bypassando l'MFA sull'account di posta elettronica della vittima

Aggiornamento del 29 agosto 2024:  Questo il thread di Reddit fornisce alcune preziose istruzioni per trovare un modo per prevenire questi attacchi nei tuoi ambienti O365, senza dover richiedere una licenza E2 o superiore.

Una licenza Microsoft E2 e superiore consente di abilitare l'accesso condizionale denominato "Richiedi la protezione tramite token per le sessioni di accesso." che impedisce attacchi di replay del token di autenticazione come questo. Perché Microsoft non include questa protezione a tutti i livelli di licenza?!?!

Come proteggersi dagli attacchi Post Authentication Token in O365 senza licenza E2 o superiore?

Secondo l'utente di Reddit LookingatCrows, è possibile impostare criteri di accesso condizionale in O365 per impedire il riutilizzo di token di autenticazione rubati. Per farlo, seguire questi passaggi:

1. Richiedere un dispositivo conforme

I dispositivi conformi devono soddisfare requisiti specifici definiti in Intune. Solo i dispositivi in Intune possono avere criteri di conformità assegnati, ed è a questo che si riferisce l'impostazione di accesso condizionale.  

2. Piattaforme di blocco non consentite per l'utente

Rendi i tuoi dispositivi (a) uniti in modalità ibrida, (b) uniti a Entra o (c) trasferiti da un altro MDM tramite integrazioni. Blocca anche la registrazione personale dei dispositivi. Questo consente di accedere a una piattaforma da miliardi di dispositivi, limitandola a quelli di proprietà dell'azienda.

3. Ove possibile, limitare le sedi in base all'organizzazione.

Si tratta di protezioni di geolocalizzazione che impedirebbero agli utenti di effettuare l'accesso da remoto da Paesi o località non consentiti.

Aggiornamento del 7 febbraio 2024: gli hacker stanno inserendo link "Evil-Proxy" dannosi in link "Annulla iscrizione" dall'aspetto innocuo. 

Una recente esperienza diretta con CyberHoot ha rilevato link di cancellazione dannosi che rubavano cookie di sessione per accedere all'email e al conto bancario di un utente. L'hacker ha rubato la sessione email e un token di sessione bancaria, il che ha rappresentato la rovina dell'attacco. Quando hanno aggiornato l'indirizzo email del conto bancario e modificato la password di accesso, il reparto frodi della banca ha chiamato nel giro di pochi minuti per chiedere informazioni sull'attività. Da lì, l'incidente è stato risolto in 30 minuti.

Lezione appresa dall'incidente:

1. Non abbassare MAI la guardia su NESSUNA email che ricevi. Può trattarsi di un avviso generico, di un'organizzazione benefica preferita o della pubblicità di una palestra. Non deve essere urgente o emotiva. Prima di cliccare su "Annulla iscrizione", applica TUTTA la formazione sul phishing che hai imparato da HootPhish (o altri). Inizia cercando errore di battitura domini.
2. Assicurati di aver abilitato l'autenticazione a più fattori su tutti i tuoi account per ogni attività, inclusa la reimpostazione della password.
3. Congela il tuo credito ovunque.  Ecco come.
4. Presentare la dichiarazione dei redditi in anticipoIn questo caso, l'hacker ha avuto accesso al codice fiscale, alla data di nascita e all'indirizzo dell'utente. Tutto ciò di cui aveva bisogno per il furto d'identità o per presentare la dichiarazione dei redditi per ottenere un rimborso consistente e succoso, inviato all'indirizzo da lui scelto.

10 agosto 2023 – Microsoft ha segnalato un gran numero di account rubati nonostante l'MFA fosse abilitato; il colpevole è evilproxy.

I vCISO di CyberHoot hanno subito due (2) compromissioni di account M365 nelle ultime 24 ore. Abbiamo condotto ricerche su cosa potrebbe accadere agli account abilitati all'MFA in violazione. Ecco cosa abbiamo scoperto. Ieri è stato segnalato un incidente da Bleeping Computer, in cui segnalavano che hacker sconosciuti, presumibilmente provenienti dalla Grecia, avevano preso di mira più di 120,000 account di posta elettronica Microsoft 365 utilizzando il malware hacker "EvilProxy" nel loro attacco.

Panoramica sul funzionamento di Evil Proxy:

Il motivo per cui funziona così bene è che le sessioni della vittima sembrano funzionare correttamente mentre accede al suo account 365. La chiave di sessione rubata all'hacker consente loro di aggirare l'MFA, consentendogli di impostare un nuovo token MFA, modificare le regole di inoltro e fare qualsiasi altra cosa desiderino, poiché hanno già ottenuto l'accesso all'account di posta elettronica O365 dell'utente hackerato. Avvertenza:Se non sei preoccupato solo perché non hai un account O365, ripensaci.  EvilProxy dispone di versioni client che attaccano anche gli account di posta elettronica di Apple, Google, Twitter, GitHub, GoDaddy e PyPI. 

Cosa succederà dopo l'arrivo degli hacker?

1. Una volta compromesso un account Microsoft 365, gli autori della minaccia aggiungono il proprio metodo di autenticazione a più fattori (tramite l'app Authenticator con notifica e codice) per garantire la persistenza.
2. Potrebbero anche aggiungere "Regole" email per nascondere la propria presenza e le comunicazioni che iniziano a inviare. Spesso raccolgono tutti gli indirizzi email con cui si è comunicata e iniziano a inviare una campagna di phishing simile per sfruttare la fiducia dei contatti del titolare dell'account email compromesso.Questa email proviene dal CFO dell'azienda. Mi fido di quella persona, cliccherò sul suo documento Adobe o sul suo allegato PDF e mi autenticherò per visualizzarlo."

Come migliorare la protezione da EvilProxy nei tuoi sistemi di posta elettronica:

1. Implementa l'accesso condizionale tramite la tua licenza Microsoft per la posta elettronica per limitare gli accessi a dispositivi e posizioni geografiche specifici. Se disponibile con la tua licenza, valuta la possibilità di abilitare "Viaggio impossibile” restrizioni.
2. Se disponibile, utilizza Microsoft InTune per negare l'accesso ai dispositivi non attendibili (configura tale criterio nella tua specifica soluzione di gestione dei dispositivi mobili).
3. Abilita e sfrutta metodi di autenticazione senza password come Windows "Hello" for Business (tieni presente però che la tua organizzazione deve disporre di dispositivi abilitati all'identificazione biometrica [riconoscimento del viso, delle impronte digitali o dell'iride]).
4. Si consideri l'utilizzo di un token hardware per il metodo MFA (chiavi di sicurezza FIDO2). Anche questo richiede dispositivi utente finali con funzionalità biometriche.

Altre misure da considerare:

1. Formare i dipendenti su come individuare ed eliminare gli attacchi di phishing.
2. Mettete alla prova i dipendenti con simulazioni di phishing innovative come HootPhish di CyberHoot. Si tratta di una simulazione e di un test di phishing positivo, formativo e basato su compiti. La simulazione si traduce in un dipendente molto più esperto in materia di sicurezza informatica, in grado di individuare gli attacchi di phishing in modo autonomo, sicuro ed efficiente.

Cosa fare dopo un attacco?

1. Reimposta la password della vittima e revoca tutte le sessioni di accesso.  Notare che: Microsoft 365 non può revocare i token di sessione. Pertanto, un hacker può rimanere attivo nell'account per un periodo compreso tra 1 ora e 1 giorno..
2. Revoca tutte le modifiche impreviste alle configurazioni MFA sull'account.
3. Cerca e rimuovi tutte le "regole" inaspettate per la manipolazione della posta in arrivo.
4. Disabilitare le regole di inoltro esterne (Note:: Questa operazione può essere eseguita a livello di dominio per tutti gli account utente e potrebbe rivelarsi una buona decisione in futuro. Assicuratevi di ottenere le opportune approvazioni prima di disattivare tutti gli inoltri.)
5. Fai attenzione alle email contenenti errore di battitura domini.
6. Cerca prove di Session-ID rubati.
7. Attività anomale provenienti da indirizzi IP o posizioni insolite nei registri di controllo della posta degli account compromessi.
8. Esegui una scansione anti-malware sul dispositivo in questione. Sebbene non siano comunemente associati al malware, questi eventi tendono a diffondersi in altre modalità di compromissione, incluso il deposito di malware.

Fonti:

https://radius.ie/evilproxy/Rilevare e correggere i viaggi impossibili con MicrosoftArticolo sulla campagna di phishing EvilProxy di Bleeping Computer

Proteggi il tuo business con CyberHoot oggi stesso!!!

Iscriviti ora