Peligros ocultos de Power Automate de Microsoft 365 …



Los atacantes utilizan herramientas empresariales legítimas para ejecutar ataques y llevar a cabo acciones maliciosas. Los equipos de seguridad deben actuar ahora.

Recientemente, hemos sido testigos de algunos de los ciberataques a mayor escala registrados. A medida que las organizaciones adoptan cada vez más entornos de nube híbrida, los ciberataques se aprovechan del acceso privilegiado y aplicaciones legítimas para ejecutar ataques y acciones maliciosas.

Esto pasó a primer plano recientemente con el ataque SolarWinds (también conocido como Sunburst), donde un canal de program comprometido envió actualizaciones maliciosas a miles de organizaciones. Este tipo de ataque a la cadena de suministro de una organización es difícil de detectar porque se basa en program de confianza dentro de la empresa. Entre los afectados se encontraban grandes proveedores multinacionales de la nube y agencias gubernamentales. Como resultado, los clientes de las aplicaciones en la nube tienen una responsabilidad cada vez mayor para prevenir, detectar y mitigar los compromisos antes de que puedan crear una brecha y un caos generalizados dentro de una organización.

Con la creciente fuerza de trabajo dispersa y la rápida adopción de aplicaciones basadas en la nube para acomodar a los trabajadores remotos, Microsoft Office environment 365, ahora llamado Microsoft 365, se ha convertido en una de las herramientas de colaboración y productividad más poderosas y ampliamente utilizadas en el mundo, con más de 250 millones de usuarios. Sin embargo, Microsoft 365 sigue siendo uno de los entornos más complejos y desafiantes de supervisar y controlar, a pesar de la mayor adopción de la autenticación multifactor (MFA) y otros controles de seguridad.

Las adquisiciones de cuentas cobran gran importancia
Entre las infracciones más recientes relacionadas con Microsoft 365, la apropiación de cuentas ha sido la técnica de atacantes más frecuente. Además estudio reciente por mis colegas de Vectra, que examinaron más de 4 millones de cuentas de Microsoft 365, encontraron que el 96% de las organizaciones exhibían algún tipo de comportamiento de movimiento lateral dentro de su entorno. Esto muestra que MFA y los controles de seguridad integrados se están evitando utilizando aplicaciones de servicio de autenticación federada de OAuth maliciosas.

Ability Automate y eDiscovery Compliance Research, herramientas de aplicación integradas en Microsoft 365, se han convertido en objetivos valiosos para los atacantes. El estudio de Vectra reveló que el 71% de las cuentas monitoreadas habían notado actividad sospechosa usando Ability Automate, y el 56% de las cuentas revelaron un comportamiento sospechoso identical usando la herramienta eDiscovery.

Un estudio de seguimiento reveló que la operación sospechosa de Azure Lively Directory (Advertisement) y la creación de flujo de Power Automate se produjeron en el 73% y el 69%, respectivamente, de los entornos supervisados.

A continuación, se muestran los datos que se muestran a lo largo del tiempo y en relación con las implementaciones totales de Microsoft 365.

Los ciberdelincuentes recurren a herramientas legítimas contra los usuarios
Microsoft Ability Automate es el nuevo PowerShell, diseñado para automatizar las tareas cotidianas del usuario tanto en Microsoft 365 como en Azure, y está habilitado de forma predeterminada en todas las aplicaciones de Microsoft 365. Esta herramienta puede reducir el tiempo y el esfuerzo necesarios para realizar determinadas tareas, lo que es beneficioso para los usuarios y posibles atacantes. Con más de 350 conectores para aplicaciones y servicios de terceros disponibles, existen amplias opciones de ataque para los ciberdelincuentes que usan Power Automate. El uso malintencionado de Electricity Automate recientemente pasó a primer plano cuando Microsoft anunció encontró actores de amenazas avanzadas en una gran organización multinacional que estaban utilizando la herramienta para automatizar la exfiltración de datos. Este incidente pasó desapercibido durante más de 200 días.

Igualmente importante es eDiscovery Compliance Look for, que es una herramienta de descubrimiento electrónico que permite a los usuarios buscar información en todo el contenido y las aplicaciones de Microsoft 365 con un straightforward comando. Los atacantes pueden utilizar eDiscovery como una herramienta de exfiltración de datos. Por ejemplo, una very simple búsqueda de «contraseña» mostrará resultados de Microsoft Outlook, Groups, SharePoint, OneDrive y OneNote.

Estas herramientas legítimas se utilizan cada vez con mayor frecuencia para ejecutar ataques. Por ejemplo, los atacantes de Sunburst utilizaron varias herramientas de M365 para ejecutar el hack, incluido el reenvío de correo, la creación de flujo automático de energía, la búsqueda de eDiscovery y la operación de Azure Advertisement.

A continuación se muestra la frecuencia de estas detecciones específicas del ataque Sunburst:

Electrical power Automate y eDiscovery se utilizan activamente juntos durante todo el ciclo de vida del ataque. Una vez que un actor de amenazas obtiene acceso mediante Power Automate y eDiscovery, puede reconfigurar las reglas de correo electrónico, comprometer los almacenes de archivos de SharePoint y OneDrive y configurar capacidades de reconocimiento y exfiltración persistentes en cuestión de minutos.

Cómo los equipos de seguridad pueden reducir las amenazas
Las oportunidades para este tipo de ataques son enormes y continúan creciendo en importancia. Los ataques recientes que involucran a Microsoft 365 destacan la necesidad de que los equipos de seguridad tengan una vista consolidada de todas las interacciones entre el host y la cuenta a medida que los atacantes se mueven entre los entornos de nube y locales. Al obtener visibilidad sobre quién y qué está accediendo a los datos o cambiando las configuraciones, independientemente de cómo y desde dónde, los equipos de TI y seguridad pueden reducir drásticamente el riesgo general de una violación. Es essential que las empresas puedan detectar y responder a inicios de sesión sospechosos, instalaciones de aplicaciones maliciosas, reglas de reenvío de correo electrónico y abuso de las herramientas nativas de Microsoft 365.

Dado que se prevé que el trabajo a distancia seguirá siendo común, esta tendencia continuará en los meses y años venideros. Podemos esperar que los atacantes continúen explotando el comportamiento humano y utilicen herramientas legítimas en aplicaciones en la nube para establecerse y permanecer sin ser detectados dentro de las organizaciones objetivo.

Hitesh Sheth es el presidente y director ejecutivo de Vectra. Anteriormente, ocupó el cargo de director de operaciones en Aruba Networks. Hitesh se unió a Aruba procedente de Juniper Networks, donde fue vicepresidente ejecutivo / gerente general de su negocio de conmutación y, antes de eso, vicepresidente senior de tecnologías de capa de servicio … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia first