Cómo Microsoft deshabilitó la autenticación heredada en …



El proceso no fue sencillo ni directo, dicen los empleados en una discusión sobre los desafíos y las lecciones aprendidas durante el proyecto de varios años.

A medida que más organizaciones adoptan protocolos de autenticación modernos, la autenticación heredada plantea un riesgo creciente para quienes se quedan atrás. El problema es que hacer una transición en todo el negocio a la autenticación moderna no es tarea fácil, como aprendieron los empleados de Microsoft cuando lo abordaron.

«Alrededor de la mitad del por ciento de las cuentas empresariales en nuestro sistema se verán comprometidas cada mes», dijo Alex Weinert, director de estrategia de identidad de Microsoft, sobre sus cuentas de clientes. «Lo cual es un número muy, muy, muy alto, si lo piensas». En un negocio de 10,000 usuarios, por ejemplo, 50 de ellos se verán comprometidos en un mes si el negocio es promedio y no hace nada adicional, dijo Weinart en una conferencia de RSA sobre el tema el mes pasado.

Weinert dijo que más de 1.2 millones de cuentas de clientes de Microsoft se vieron comprometidas en enero de 2020. De ellos, más del 99% no tenía MFA habilitado. «La autenticación multifactor habría evitado la gran mayoría de esas un millón de cuentas comprometidas el mes pasado», explicó.

Alrededor del 40% de esos compromisos de enero, o 480,000 cuentas, se debieron a ataques de rociado de contraseña y casi todos (99% de) los rodamientos de contraseña aprovecharon los protocolos de autenticación heredados. El segundo método de ataque más común fueron las credenciales de fuerza bruta en todas las plataformas. Casi todos (el 97% de) estos ataques de «repetición» también usan protocolos de autenticación heredados, señaló Weinert, y la probabilidad de compromiso aumentó para los usuarios que dependían de SMTP, IMAP, POP y otros.

«Sabemos que alrededor del 60% de los usuarios (en normal) reutilizarán las contraseñas es muy común», continuó, y agregó que «las personas reutilizan sus cuentas empresariales en entornos no empresariales».

La autenticación «heredada» o «básica» se refiere a protocolos más antiguos como POP, SMTP, IMAP y XML-Auth, que no permiten la interacción del usuario o los desafíos de MFA, dijo Weinert. Es el problema predominante con la implementación de MFA y el mecanismo preferido para atacar cuentas. Las herramientas de ataque están construidas sobre él funciona, y es fácil, dijo. Pero deshabilitar los protocolos de autenticación básicos puede marcar una diferencia significativa: al controlar otras variables, Microsoft encontró una reducción del 67% en el compromiso para los inquilinos que desactivaron los protocolos heredados.

Para ayudar a defender a sus propios empleados contra ataques dirigidos a estos protocolos, Microsoft ha implementado opciones modernas de MFA compatibles para teléfonos, nube y entornos locales a lo largo de los años. Aún así, aunque invirtió en estas herramientas, «realmente no prestó atención a la autenticación heredada», dijo Lee Walker, arquitecto de identidad en el equipo interno de TI de Microsoft. «Pensamos que naturalmente desaparecería». Aún así, muchos empleados internos de Microsoft continuaron utilizando protocolos heredados. En 2018, los ejecutivos de la compañía pidieron que se cerrara la autenticación heredada en toda la organización.

Prueba y (un gran) error

Al echar un vistazo más amplio al entorno de Microsoft, el equipo vio algunas instancias de autenticación heredada, pero asumió que el proyecto no sería intensivo. Se usó principalmente en Azure Active Directory, en pequeñas herramientas que las personas usaban para hablar directamente con Microsoft Graph y recopilar información básica en Azure, así como en SharePoint, Skype for Company y Trade.

El equipo pensó que la mayoría de las actualizaciones serían para clientes antiguos de Office 2010 o 2013. «Sabíamos que estaban usando autenticación heredada, pero sabíamos que la gran mayoría de las personas habían sido actualizadas», dijo Walker. Esperaban que estos clientes de Business office fueran personas con máquinas personales más antiguas en casa, y simplemente tendrían que ayudar a los usuarios a actualizar.

Hay varias herramientas disponibles para bloquear protocolos heredados Lee y Walker demostraron su proceso utilizando uno integrado en Azure Lively Listing. Comenzó sin problemas, dijeron. Los equipos de TI y operaciones implementaron la desactivación de autenticación heredada a 2.000 usuarios en la organización y experimentaron problemas mínimos. «Esto nos dio mucha confianza en que nuestro despliegue para el bloqueo de autenticación heredado se llevaría a cabo muy rápidamente a través de Microsoft internamente», dijo Walker, señalando que esperaban que el proceso tomara dos meses.

«No funcionó de esa manera», agregó.

El equipo implementó esta política de desactivación en su fuerza de ventas de 60,000 personas. Dejaron sus escritorios ese día en octubre de 2018 y pronto comenzaron a recibir llamadas en medio de la noche: la aplicación TeleSales, que solía contactar a los clientes y tomar pedidos, no funcionaba entre los usuarios australianos. «Es una aplicación crítica para nuestra fuerza de ventas, y cuando analizamos esto, descubrimos que hay una cuenta que se utilizó para ejecutar el again-close de todas nuestras aplicaciones de Televentas», dijo Walker. Esta cuenta, oculta en los datos, estaba siendo bloqueada por la política de autenticación heredada.

Esta política hizo que la aplicación se rompiera, lo que redujo la fuerza de ventas durante todo un día, teniendo en cuenta la diferencia horaria y el tiempo que lleva escalar los problemas. «No pudieron ganar dinero por un día, y eso fue un gran problema», señaló Walker.

Tomando un nuevo enfoque

Se le dijo al equipo que no podían avanzar con la política hasta que estuvieran seguros de que el incidente no volvería a ocurrir. «La realidad es que realmente no sabíamos lo que estábamos haciendo», dijo Weinert. No tenían los datos que necesitaban para mostrar dónde se usaba la autenticación heredada en su entorno lo que es más importante, no tenían la strategy de saber qué significaban realmente esos datos. Si lo hubieran hecho, habrían visto la conexión entre la aplicación TeleSales, la cuenta detrás de ella y los cientos de miles de personas que confiaron en ella.

«Sabíamos que necesitábamos más datos, así que decidimos mantener muchos más datos», dijo Weinert. El equipo registró 90 días de historial de inicio de sesión para identificar aplicaciones específicas mediante autenticación heredada. Este período de tiempo fue lo suficientemente grande como para darles visibilidad de las aplicaciones que se usan a diario y semanalmente También podían ver aplicaciones financieras que solo se usaban una vez por trimestre.

También decidieron simular la política de autenticación heredada en lugar de aplicarla directamente. El modo «solo informe» brindaba la capacidad de implementar una política simulada sin bloquear nada. Como resultado, los usuarios verían «habríamos bloqueado esto» en lugar de perder la funcionalidad de la aplicación.

Luego vino la parte tediosa: el equipo tuvo que rastrear a los propietarios individuales de las aplicaciones que confiaban en protocolos de autenticación heredados, trabajar con ellos para encontrar la API que les pedía contraseñas y encontrar el equivalente moderno de esa API para solucionarlo. Para marzo de 2019, la política estaba habilitada para el 94% de los usuarios, pero aún enfrentaban varias solicitudes de excepción por semana.

«Este fue probablemente el mayor impulsor del trabajo para nuestro equipo», dijo Walker. Desactivar la autenticación heredada no tomó mucho tiempo tampoco lo hizo recolectar o analizar datos. Hablar con los propietarios de las aplicaciones tampoco llevó mucho tiempo, pero las solicitudes individuales de aplicaciones raramente usadas «tomaron mucho tiempo». Se tardó aproximadamente un año en pasar por excepciones y usuarios seguros de autenticación heredada.

«Los procesos humanos aquí son súper importantes», dijo Walker. Aconsejó a los equipos de TI y seguridad que comiencen a probar con un pequeño grupo, preferiblemente el suyo, para conocer el proceso de respuesta antes de implementar una política en toda la organización. También alentó a los asistentes a RSAC a comenzar el proceso de eliminar la autenticación heredada lo antes posible: Microsoft ha visto un aumento de ~ 3.000% en la tasa de ataque a los productos y servicios de Microsoft en los últimos tres años. La adopción de protocolos de autenticación modernos puede ayudar a defenderse contra los aerosoles de contraseñas, la reutilización de credenciales y otras técnicas de ataque comunes.

«Las organizaciones que se están moviendo hacia un protocolo más seguro se están librando del peligro y están permitiendo que los atacantes cosechen de quienes no lo han hecho», dijo.

Contenido relacionado:

Kelly Sheridan es la Editora de personal de Dark Examining, donde se enfoca en noticias y análisis de seguridad cibernética. Ella es una periodista de tecnología de negocios que previamente reportó para InformationWeek, donde cubrió Microsoft, y Coverage & Technologies, donde cubrió asuntos financieros … Ver biografía completa

Más concepts





Enlace a la noticia original