Angribere udnytter sårbarheder i Office 365 eller Outlook Web App (OWA)

[Oprindeligt publiceret af Center for Cybersikkerhed]

Ved brug af phishing og spear-phishing angreb er det lykkedes angribere, at franarre intetanende brugere deres loginoplysninger (brugernavn og password) til Outlook. Angribere har herefter udnyttet sårbarheder, som ikke tidligere er set anvendt. Sårbarhederne ses bl.a. udnyttet ved at:

• Angribere omgår fler-faktor-autentifikationen i Office 365 ved at udnytte en Office 365-indstilling, der giver ikke-fler-faktor-kompatible legacy applikationer adgang til tjenesten.
• Angribere får uautoriseret adgang til mails ved at udnytte parameteren ”ForwardingSMTPAddress” eller ved at sætte en regel op i OWA, som automatisk videresender alle mails til en ekstern e-mailadresse.

Vedr. omgåelse af fler-faktor-autentifikationen i Office 365
Hvis Office 365 tjenesten er sat op til at tillade ”legacy authentifikation”, vil der kunne opnås adgang til tjenesten med loginoplysninger, som er indsamlet via phishing og spear-phishing angreb. ”Legacy authentifikation” er en term, der refererer til autentifikationsprotokoller, som anvendes af applikationer såsom:

• Ældre Office klienter, der ikke anvender Modern Authentication (eks. Office 2010 klienten)
• Mailklienter, der anvendes mailprotokoller såsom IMAP/SMTP/POP

Anbefalinger:

• Det anbefales, at der aktiveres fler-faktor-autentifikation for alle adgangsprotokoller (f.eks. EWS, ActiveSync og POP / IMAP).
• Kontroller, at ”Modern Authentication” anvendes
• Bloker adgangen til Office 365-tjenester fra programmer, der ikke understøtter ”Modern Authentication”. Bemærk, at blokeringen kan betyde at mobiltelefoners standard e-mail-applikationer ikke kan anvendes til at få adgang til tjenesten.

Vedr. misbrug af indstillingen ”automatisk videresendelse af mails” i OWA
Outlook og OWA har en funktion, der gør det muligt at alle indkomne e-mails i mailindbakken automatisk videresendes til en ekstern e-mailadresse. Der er på brugerniveau to måder, hvorpå mailindbakken kan sættes op til at videresende e-mails:

• Ved at tilføje en ny regel for mailindbakken i OWA
• Ved at aktivere parameteren ”ForwardingSMTPAddress” i OWA
• Ændringen kan være svær at spotte idet brugere sjældent kontrollerer indstillingerne for deres e-mail-konti. Samtidig kan administratorer i administrationsmodulet ”Exchange Admin Center” ikke se hvilke mailindbakker, der er sat optil at videresende e-mails.

Anbefalinger:

• Implementer DMARC (Domain-based Message Authentication, Reporting and Conformance), som gør det muligt at forhindre mails med en forfalsket afsender i at nå ud til slutbrugere og samtidig begrænse misbrug af de domænenavne, organisationen ejer.
• Administratorer bør jævnligt undersøge om videresendelse er aktiveret for brugernes mailbokse ved at køre en Power Shell kommando (link til guide: https://blogs.technet.microsoft.com/timmcmic/2015/06/08/exchange-and-office-365-mail-forwarding-2/)
• Overvej at forhindre brugere i selv at kunne ændre indstillinger for automatisk videresendelse af e-mails. En løsning kan være kun at lade administratorer styre regler og indstillinger for videresendelse af mails.

Generelle anbefalinger:
Da angribere kun kan lykkedes med at udnytte sårbarhederne, hvis de får adgang til loginoplysninger for Office 365 eller OWA, anbefales det at:

• Brugere løbende trænes i at identificere phishing og spear-phishing mails.
• Brugere løbende uddannes i at udvise god adfærd i forbindelse med mailhåndtering.

Læs mere i nedenstående vejledninger, som udarbejdet af Center for Cybersikkerhed:

• Reducer risikoen for falske mails
• Spear-phishing - et voksende problem
• Cyberforsvar der virker

Center for Cybersikkerheds situationscenter udsender varsler og nyheder om aktuelle og generelle cybertrusler. De udsendte varsler er baseret på den viden og vurderingsgrundlag, Center for Cybersikkerhed har til rådighed på udsendelsestidspunktet.