Крадіжка токенів Microsoft 365 для Android: ризики та відповідність NIS

Мобільні платформи стають дедалі привабливішою мішенню для зловмисників. Цього року спостерігається зростання атак, спрямованих на облікові дані користувачів, а нещодавні дослідження виявили серйозну вразливість у додатках Microsoft 365 для Android. Проблема, пов’язана із залишковим прапорцем налагодження, дозволяє будь-яким додаткам на пристрої потенційно викрадати токени облікових записів, відкриваючи шлях до несанкціонованого доступу до корпоративних ресурсів.

Ризик крадіжки облікових даних: вразливість у додатках Microsoft 365 для Android

Суть виявленої вразливості полягає в тому, що деякі додатки Microsoft 365 для Android залишають активним прапорець налагодження (debug flag) навіть у виробничих версіях. Цей прапорець, призначений для розробників, дозволяє іншим додаткам на тому ж пристрої отримати доступ до внутрішніх даних і процесів, включно із сесійними токенами автентифікації. Ці токени є ключем до облікових записів користувачів, надаючи доступ до електронної пошти, документів, календарів та інших конфіденційних даних у хмарних сервісах Microsoft 365.

На практиці це означає, що шкідливий додаток, встановлений на пристрої користувача, може скористатися цією лазівкою для викрадення токенів. Це може статися через фішингові атаки, які, за даними звіту ENISA Threat Landscape, залишаються провідним вектором початкового доступу. Користувач може завантажити, здавалося б, невинний додаток, який приховано експлуатує цю вразливість, щоб отримати доступ до його корпоративних облікових записів. Наслідки такої крадіжки можуть бути суттєвими: від витоку конфіденційної інформації до компрометації всієї корпоративної мережі через скомпрометовані облікові дані.

NIS2 та її вплив на безпеку мобільних додатків

На тлі зростання кіберзагроз для мобільних платформ європейська директива NIS2 (Network and Information Security 2.0) набуває особливого значення. Вона значно розширює сферу застосування та посилює вимоги до кібербезпеки для компаній, що працюють у критично важливих секторах або надають цифрові послуги. Навіть якщо компанія не є прямим суб’єктом NIS2, але працює з європейськими замовниками або є частиною їхнього ланцюга постачання, відповідність цим вимогам стає обов’язковою.

NIS2 вимагає від організацій впровадження комплексних заходів управління ризиками, що включають:

• Управління інцидентами: Чіткі процедури виявлення, аналізу та реагування на кіберінциденти, з обов’язковим повідомленням відповідних органів протягом 24 годин з моменту виявлення та остаточним звітом протягом 72 годин. Компрометація облікових даних через мобільні додатки є прямим інцидентом, що підпадає під ці вимоги.
• Управління ризиками: Регулярна оцінка та мінімізація ризиків для інформаційних систем, включно з мобільними платформами. Це охоплює аудит безпеки додатків, виявлення вразливостей та їх своєчасне усунення.
• Безпека ланцюга постачання: Оцінка ризиків, пов’язаних зі сторонніми постачальниками програмного забезпечення та послуг, такими як Microsoft. Компанії повинні переконатися, що їхні постачальники дотримуються високих стандартів безпеки.

Ігнорування вразливостей у мобільних додатках, які використовуються для доступу до корпоративних даних, може призвести до значних штрафів, репутаційних втрат та перебоїв у роботі, що є прямим порушенням вимог NIS2.

Типова помилка: ігнорування мобільних вразливостей у стратегії Zero Trust

Багато компаній активно впроваджують стратегію Zero Trust, яка базується на принципі «нікому не довіряй, завжди перевіряй». Однак типовою помилкою є недостатня увага до мобільних пристроїв та додатків. Часто фокус зміщується на мережеву інфраструктуру, хмарні сервіси та стаціонарні робочі станції, тоді як мобільні пристрої, які є повноцінними кінцевими точками доступу до корпоративних даних, залишаються поза належним контролем.

У парадигмі Zero Trust кожен запит на доступ, незалежно від джерела, має бути автентифікований, авторизований та перевірений. Це стосується і мобільних додатків. Якщо мобільний додаток має вразливість, що дозволяє крадіжку токенів, це підриває весь принцип Zero Trust. Зловмисник, отримавши токен, може обійти багато рівнів захисту, оскільки система вважатиме його легітимним користувачем. На практиці, як показує Cisco Cybersecurity Readiness Index, значна частина організацій не інтегрує мобільні пристрої в єдину систему управління ідентифікацією та доступом (IAM) з багатофакторною автентифікацією (MFA), не застосовує політики управління мобільними пристроями (MDM/EMM) та не проводить регулярний аудит безпеки мобільних додатків. Це створює сліпі зони, які можуть бути експлуатовані, як у випадку з вразливістю Microsoft 365.

Архітектурний приклад: забезпечення безпеки облікових даних у банківському секторі

Розглянемо сценарій для банківського сектору, де безпека даних є критично важливою. Співробітники часто використовують мобільні пристрої для доступу до корпоративної пошти, внутрішніх CRM-систем та інших ресурсів через додатки Microsoft 365. Якщо на такому пристрої встановлено шкідливий додаток, що експлуатує вразливість із залишковим прапорцем налагодження, він може викрасти токени доступу до облікового запису співробітника.

Наслідки: зловмисник отримує доступ до корпоративної пошти, де може знайти конфіденційну інформацію про замовників, фінансові операції або дані для подальших атак. Він може використати скомпрометований обліковий запис для фішингу інших співробітників або замовників, що призведе до масштабного витоку даних. Для вирішення цієї проблеми банк має впровадити комплексну архітектуру безпеки, залучивши інтеграторів з досвідом у проєктуванні та впровадженні таких рішень для фінансового сектору.

Практичні кроки для мінімізації ризиків та забезпечення відповідності

Для ефективного захисту від подібних вразливостей та забезпечення відповідності регуляторним вимогам, таким як NIS2, компаніям необхідно вжити конкретних заходів. Ці кроки узгоджуються з рекомендаціями CISA Cross-Sector Cybersecurity Performance Goals, які наголошують на важливості базових контролів безпеки.

Чекліст безпеки для мобільних додатків та облікових даних

• Регулярний аудит додатків: Проводиться статичний та динамічний аналіз коду мобільних додатків на наявність вразливостей, включно із залишковим функціоналом налагодження.
• Примусова MFA: Багатофакторна автентифікація (MFA) є обов’язковою для доступу до всіх корпоративних ресурсів з мобільних пристроїв.
• Централізоване управління пристроями: Застосовуються рішення MDM/EMM для контролю версій ОС, шифрування, списку дозволених додатків та віддаленого стирання даних.
• Політики BYOD: Існує чітка політика щодо використання корпоративних облікових записів на особистих мобільних пристроях, включно з контейнеризацією корпоративних даних.
• Моніторинг аномалій: Налаштовано моніторинг підозрілої активності, пов’язаної з мобільними пристроями (нетипові геолокації, час доступу, обсяг даних), через SIEM.
• План реагування на інциденти: Розроблено та протестовано процес реагування на інциденти, пов’язані з компрометацією мобільних пристроїв, що відповідає вимогам NIS2 (24/72 години).
• Навчання співробітників: Проводяться регулярні тренінги щодо розпізнавання фішингових атак, спрямованих на мобільні пристрої, та правил кібергігієни.

Забезпечення кібербезпеки мобільних додатків є не технічним завданням, а стратегічною необхідністю, особливо в умовах посилення регуляторних вимог. Комплексний підхід до захисту, що охоплює технології, процеси та навчання персоналу, є єдиним надійним шляхом до мінімізації ризиків.