Los atacantes conocen Microsoft 365 mejor que usted



Los usuarios han recurrido a las herramientas de Microsoft Office 365, pero muchos desconocen las funciones gratuitas que vienen con sus cuentas, funciones que los mantendrían seguros.

Las organizaciones han adoptado rápidamente el conjunto completo de herramientas de productividad y colaboración que ofrece Business 365 (O365), que se movió bajo el paraguas de Microsoft 365 esta primavera. Están aprovechando Microsoft Teams, SharePoint, OneDrive y otros sistemas de almacenamiento de archivos para almacenar y colaborar en documentos y datos confidenciales. Sin embargo, con el aumento exponencial de uso en los últimos meses, la plataforma se ha convertido en un objetivo atractivo y fructífero para atacantes de todo tipo.

En 2019, el 85% de todas las investigaciones de respuesta a incidentes realizadas por el equipo de respuesta a incidentes de seguridad de Kudelski comenzaron con una cuenta de Place of work 365 comprometida. Al revisar los resultados de esas investigaciones, una cosa se hizo evidente rápidamente: los atacantes conocen el paquete de productividad mejor que la mayoría de los administradores y defensores de TI.

Cómo atacan los atacantes
Este año, vimos a los atacantes aprovechar una multitud de técnicas de ataque, la mayoría de las cuales podrían haberse evitado fácilmente activando las funciones incluidas en la mayoría de los planes de Office 365 Organization. A medida que las organizaciones elaboran estrategias para 2021, es essential conocer y comprender cómo los actores malintencionados aprovechan su conocimiento de estos entornos para comprometer, persistir y exfiltrar datos.

Estas son las tres formas más comunes en que los atacantes aprovechan la plataforma de Microsoft:

1. Fuerza bruta y relleno de contraseñas
El relleno de credenciales sigue siendo una de las principales causas de compromiso de la cuenta. Los atacantes aprovechan el hecho de que la mayoría de las organizaciones no habilitan la autenticación multifactor (MFA), una función gratuita que se ofrece a todos los inquilinos de Microsoft 365, que, según Microsoft, podría haber evitado el 99,9% de los compromisos de cuentas que vio en los entornos de los usuarios.

La gran mayoría de los ataques de «relleno de contraseñas» no tienen como objetivo. Los atacantes obtienen un volcado de contraseñas de una fuente de terceros e intentan «rellenar» estas contraseñas en las solicitudes de inicio de sesión de Microsoft 365. Dichos ataques dependen en gran medida de que los usuarios reutilicen las contraseñas en los sitios world wide web y proveedores de software como servicio, incluidas sus cuentas corporativas.

Otro desafío es el «protocolo heredado«Soporte. A través de esto, los atacantes pueden utilizar la fuerza bruta de las cuentas protegidas por MFA al intentar autenticarse a través de protocolos que no son compatibles con MFA, como SMTP, IMAP y POP3. Estos proporcionan una vía para utilizar libremente las contraseñas de las cuentas por fuerza bruta sin tener que lidiar con más solicitudes de verificación. En la actualidad, existen al menos cuatro herramientas de código abierto diferentes que abusan de estos protocolos heredados, incluido LyncSniper (se dirige a Skype Empresarial), SensePost Ruler (se dirige a Exchange Server), MailSniper (se dirige a Outlook World-wide-web Access / Exchange World-wide-web Services ) y SprayingToolkit (se dirige a Lync / Outlook World wide web Obtain).

Este problema se ve agravado por las organizaciones que permiten a los usuarios restablecer los dispositivos o aplicaciones MFA simplemente a través de un enlace de confirmación enviado a las cuentas de correo electrónico comprometidas. Los atacantes restablecen los tokens MFA y aprovechan estas aplicaciones recién registradas para iniciar sesión en otras que dependen del inicio de sesión único de Microsoft 365, lo que potencialmente puede obtener acceso a datos más confidenciales.

Las organizaciones deben trabajar para limitar el uso de protocolos heredados con Acceso condicional de Azure Lively Listing así como aprovechar la función MFA para agregar otra capa de seguridad para los usuarios.

2. Concesiones de consentimiento de OAuth
Los atacantes también son usuarios de phishing con enlaces a pantallas de concesión de consentimiento de OAuth diseñadas para engañar a los usuarios para que otorguen acceso a sus cuentas de Microsoft 365 a aplicaciones maliciosas. Esas pantallas de consentimiento son reales, alojadas por Microsoft y solicitan que los usuarios proporcionen acceso a sus bandejas de entrada de correo electrónico y otros datos. Una vez que se concede acceso a las aplicaciones maliciosas, los atacantes tienen acceso sin restricciones a las cuentas sin necesidad de contraseñas o MFA. Como las concesiones de OAuth 2. no caducan, los atacantes conservarán ese acceso hasta que se revoque esa concesión específica. Incluso cambiar la contraseña de un usuario no revocará estos tokens automáticamente.

Existen varias herramientas de código abierto que permiten a los atacantes crear fácilmente aplicaciones falsas que deben tenerse en cuenta, incluidos MdSec Business office 365 Attack ToolKit y FireEye PwnAuth.

Hemos visto un aumento en el abuso de las subvenciones de OAuth. Para prevenir estos ataques, las organizaciones pueden exigir que solo se permitan aplicaciones específicas preaprobadas para aprovechar OAuth 2. o aprovechar la verificación del editor, o los administradores pueden optar por limitar el acceso a concesiones de OAuth 2. «confidenciales».

3. eDiscovery y abuso de Microsoft Circulation
Los atacantes saben que las características de eDiscovery incluidas en el centro de seguridad y cumplimiento de la plataforma se pueden aprovechar para identificar fácilmente documentos de interés en todas las aplicaciones, incluidos los servidores de correo electrónico Microsoft Groups, SharePoint, OneDrive y Trade. También saben que la mayoría de las organizaciones ni siquiera se han tomado el tiempo de activar el registro de auditoría (desactivado de forma predeterminada) o no están monitoreando sus entornos de Azure Energetic Directory. Estas organizaciones no podrán detectar a los atacantes que se otorgan a sí mismos permisos necesarios para aprovechar las herramientas de eDiscovery.

La suite de productividad también otorga a los usuarios acceso a Microsoft Circulation, una herramienta de automatización del flujo de trabajo que permite a los usuarios automatizar tareas en función de ciertos desencadenantes. Los actores malintencionados aprovechan el hecho de que una vez que obtienen acceso a eDiscovery, pueden aprovechar Microsoft Flow y automatizar completamente el descubrimiento y la filtración de documentos confidenciales.

Los atacantes conocen esta plataforma mejor que la mayoría de los defensores y se han vuelto muy efectivos para comprometer a los inquilinos fácilmente sin tener que pasar por alto la multitud de capacidades de seguridad que ofrece Microsoft. Parte del problema es que las organizaciones no aprovechan al máximo las funciones gratuitas incluidas con sus suscripciones. De hecho, los atacantes están abusando de las funciones de Microsoft que los administradores de TI ni siquiera saben que existen.

Los equipos de TI y seguridad deben saber lo que ya tienen disponible y habilitar todas las funciones que les ayudarán a cerrar la puerta a posibles amenazas.

Francisco Donoso es el Director de Estrategia de Seguridad Global en Kudelski Stability, un proveedor de servicios de ciberseguridad international, donde anteriormente trabajó como arquitecto principal, desarrollando las ofertas globales de Servicios de Seguridad Gestionada (MSS) de la compañía. Él ha sido … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia unique