Las cuentas de Microsoft Workplace 365 son un gran objetivo para …



Tal como lo hicieron con PowerShell para Home windows, los actores de amenazas están abusando de las capacidades nativas de O365 para el movimiento lateral, la comunicación de comando y management y otras actividades maliciosas.

Con más que 258 millones de usuarios activos usuarios por mes, el entorno Business office 365 de Microsoft, al igual que varias otras tecnologías de Microsoft, se ha convertido en un objetivo well-known para los atacantes.

Vectra AI analizó recientemente los datos recopilados de más de 4 millones de cuentas de Business 365 entre junio y agosto. El proveedor de seguridad descubrió que los atacantes utilizan ampliamente las cuentas de Office 365 para moverse lateralmente a otros usuarios y cuentas dentro de una empresa, para llevar a cabo comunicaciones de comando y control y otras actividades maliciosas.

Según Vectra, los atacantes están aprovechando múltiples capacidades útiles disponibles dentro de Office 365, particularmente Ability Automate y eDiscovery, para orquestar muchas de sus tareas maliciosas, tal como lo hicieron con PowerShell para Home windows.

«Dentro del nuevo paradigma de trabajo desde casa, la toma de handle de la cuenta de usuario en Office environment 365 es la forma más efectiva para que un atacante se mueva lateralmente dentro de la pink de una organización», dice Chris Morales, jefe de análisis de seguridad de Vectra. «Y cuando están allí, los atacantes utilizan las herramientas existentes para vivir de la tierra y evitar ser detectados».

Vectra&#39s estudiar encontró signos de movimiento lateral en el 96% de las cuentas de clientes de Office 365 muestreadas. El setenta y uno por ciento de las cuentas exhibieron actividad sospechosa de Electricity Automate, y el 56% exhibió un comportamiento sospechoso comparable con respecto a la capacidad de eDiscovery de Business office 365. Vectra descubrió que, además del movimiento lateral y las comunicaciones de comando y command, los atacantes están utilizando cuentas de Workplace 365 violadas para robar datos y realizar reconocimientos.

La mayor amenaza para las organizaciones radica en cómo los atacantes están explotando las herramientas y características legítimas de Office 365 para eludir los controles de seguridad y permanecer sin ser detectados en las cuentas comprometidas, según el estudio.

Energy Automate, por ejemplo, está diseñado para ayudar a los usuarios a automatizar tareas rutinarias en Business office 365, como guardar archivos adjuntos de correo electrónico en OneDrive para la Empresa o registrar respuestas en SharePoint. Energy Automate está habilitado de forma predeterminada en Place of work 365 y actualmente admite más de 350 conectores de aplicaciones, señala Vectra. Los atacantes han abusado de la función para hacer cosas como sincronizar automáticamente archivos en OneDrive con un Google Drive controlado por el atacante con cada actualización de archivo o para conectarse a través de HTTP y enviar datos a un sistema de comando y manage.

«Microsoft desarrolló PowerShell para automatizar tareas y configuraciones mundanas para Windows», dice Morales. Su versatilidad ha hecho que PowerShell sea muy preferred no solo entre los administradores, sino también entre los atacantes.

«Sus capacidades únicas han convertido a PowerShell en el modelo de los ataques que viven fuera de la tierra», dice. Al igual que PowerShell, Electric power Automate se creó para automatizar las tareas mundanas. Y al igual que su predecesor, Power Automate es preferred entre los atacantes por las mismas razones.

De manera very similar, las herramientas de exhibición de documentos electrónicos de Office environment 365, que se utilizan principalmente para buscar contenido en lugares como buzones de correo de Exchange On the net, Microsoft Groups, sitios de OneDrive para empresas y SharePoint en línea, son otro de los favoritos de los atacantes. Vectra descubrió que los atacantes están utilizando eDiscovery para buscar contraseñas y otros datos confidenciales sin levantar sospechas.

Brendan O&#39Connor, director ejecutivo y cofundador de AppOmni, señala dos razones para el alto nivel de interés de los atacantes en Office 365. Una de las razones es su alta participación de mercado, que les da a los atacantes más objetivos a los que perseguir.

«La respuesta más compleja es que Place of work 365 tiene sus raíces como aplicaciones de punto remaining que se ejecutan en el sistema operativo Windows», dice O&#39Connor.

En otras palabras, aunque Office environment 365 se ofrece como una aplicación SaaS, muchos continúan usándolo como si se ejecutara en una Computer o computadora portátil.

«La difuminación de las líneas entre el punto ultimate y la aplicación SaaS puede ser beneficiosa para las empresas que ofrecen flexibilidad adicional a los usuarios», dice O&#39Connor. «Sin embargo, también abre vectores de ataque adicionales para los piratas informáticos».

La complejidad del entorno de Business office 365 hace que asegurarlo también sea un desafío, según O&#39Connor. Además de los correos electrónicos y las aplicaciones de productividad como Word y PowerPoint, Office environment 365 también se trata del almacenamiento en línea a través de OneDrive, la colaboración a través de Teams y la integración con una gran cantidad de otras aplicaciones a través de scripts y conectores.

«La cantidad de configuraciones y ajustes involucrados es difícil de mantener para cualquier equipo de TI», dice O&#39Conner.

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia primary