Cómo los atacantes podrían usar las aplicaciones de Azure para colarse en …



Los investigadores advierten a los titulares de cuentas de Microsoft 365 que presten atención a las aplicaciones desconocidas que solicitan permisos.

Las aplicaciones de Microsoft Azure podrían ser armadas para entrar en cuentas de Microsoft 365, informan investigadores que están investigando nuevos vectores de ataque a medida que las empresas hacen la transición a entornos de nube.

El equipo de investigación de Varonis encontró este vector al explorar diferentes formas de explotar Azure, explica el investigador de seguridad Eric Saraga. Si bien encontraron algunas campañas destinadas a usar aplicaciones de Azure para comprometer las cuentas, descubrieron poca cobertura de los peligros. Decidieron crear una aplicación de prueba de concepto para demostrar cómo podría funcionar este ataque. Vale la pena señalar que no descubrieron una falla dentro de Azure, sino que detallaron las formas en que sus características existentes podrían usarse de manera maliciosa.

«Decidimos hacer la prueba de concepto después de ver un peligro potencial, no de ninguna tendencia específica», dice. «Sin embargo, si alguien está utilizando lo que describimos aquí para lanzar ataques, seguramente será un grupo (amenaza persistente avanzada) o un atacante muy sofisticado». A medida que avanza la nube, Saraga anticipa que comenzaremos a ver campañas diseñadas para usar versiones más simples de este ataque.

Microsoft creó el Servicio de aplicaciones de Azure para que los desarrolladores puedan crear aplicaciones en la nube personalizadas para llamar y consumir recursos y API de Azure. Su objetivo es simplificar el proceso de creación de programas que se integran con diferentes componentes de Microsoft 365. La API de Microsoft Graph, por ejemplo, permite que las aplicaciones se comuniquen con compañeros de trabajo, grupos, documentos de OneDrive, buzones de Trade On the internet y conversaciones a través del Microsoft de una sola persona. Plataforma 365.

Sin embargo, antes de que una aplicación pueda hacer esto, primero debe pedirle a un empleado acceso a los recursos que necesita. Un atacante que diseña una aplicación maliciosa y la implementa a través de una campaña de phishing podría engañar a alguien para que le otorgue acceso a los recursos dentro de la nube. Los investigadores señalan que las aplicaciones de Azure no requieren la aprobación de Microsoft o la ejecución del código en la máquina de la víctima. Como resultado, es más fácil para ellos evadir los sistemas de seguridad.

Un atacante primero debe tener una aplicación net y un inquilino de Azure para alojarla. A partir de ahí, los correos electrónicos de suplantación de identidad son la forma más efectiva para que puedan establecerse, dice Saraga. Un atacante podría enviar un mensaje con un enlace para instalar la aplicación maliciosa de Azure este enlace dirigiría al usuario a un sitio controlado por el atacante, lo que redirigiría al usuario a la página de inicio de sesión de Microsoft.

«La autenticación es manejada y firmada por Microsoft por lo tanto, incluso los usuarios educados pueden ser engañados», señala. Una vez que la víctima inicia sesión en su instancia de Microsoft 365, se crea un token para la aplicación y se le pedirá al usuario que otorgue permisos. El aviso le resultará familiar a cualquiera que haya instalado una aplicación en SharePoint o Groups sin embargo, también es donde las víctimas pueden ver una bandera roja: «Esta aplicación no está publicada por Microsoft o su organización».

Esta es la única pista que podría indicar un juego sucio, señala Saraga, pero es possible que muchas personas hagan clic en «aceptar» sin pensarlo dos veces. A partir de ahí, una víctima no sabrá que hay alguien no autorizado a menos que el intruso modifique o cree objetos que sean visibles para el usuario, explica.

Con estos permisos, un atacante podría leer correos electrónicos o acceder a los archivos como lo desee. Saraga agrega que esta táctica es great para el reconocimiento, el lanzamiento de ataques de spearphishing de empleado a empleado y el robo de archivos y correos electrónicos de Workplace 365. «Al leer los correos electrónicos del usuario, podemos identificar los contactos más comunes y vulnerables, enviar correos electrónicos internos de spearphishing que provienen de nuestra víctima e infectar a sus compañeros», escribe en un entrada en el web site sobre los hallazgos. «También podemos usar la cuenta de correo electrónico de la víctima para filtrar los datos que encontramos en 365».

Volando bajo el radar
Saraga señala que otorgar acceso a una aplicación de Azure no es muy diferente de ejecutar un ejecutable malicioso o habilitar macros en un archivo malicioso. Pero debido a que esta técnica no requiere la ejecución de código en el punto ultimate, es difícil de detectar y bloquear.

Microsoft no recomienda deshabilitar por completo las aplicaciones de terceros, ya que evita que los usuarios otorguen su consentimiento a todos los inquilinos y limita su capacidad de aprovechar por completo las aplicaciones de terceros. Ante esto, Saraga aconseja prestar mucha atención al texto de advertencia que aparece cuando una aplicación desconocida solicita permisos.

«Primero, vigile de cerca las nuevas aplicaciones de Azure. Luego decida si son confiables o no: ¿están verificadas? ¿Conoce al desarrollador? ¿Puede confiar en él?» él aconseja. «En segundo lugar, supervisar la actividad del usuario en toda la organización. La actividad anormal podría indicar un compromiso».

Contenido relacionado:

Kelly Sheridan es la Editora de personal de Dim Looking through, donde se enfoca en noticias y análisis de seguridad cibernética. Ella es una periodista de tecnología de negocios que previamente reportó para InformationWeek, donde cubrió Microsoft, y Insurance coverage & Technological know-how, donde cubrió asuntos financieros … Ver biografía completa

Más strategies





Enlace a la noticia initial