Los respondedores de incidentes exploran los ataques de Microsoft 365 …



Los expertos de Mandiant analizan las técnicas novedosas que se utilizan para evadir la detección, automatizar el robo de datos y lograr un acceso persistente.

BLACK HAT 2021: Microsoft 365 es un objetivo candente para los ciberdelincuentes, que buscan constantemente nuevas formas de eludir sus salvaguardas para acceder a los datos corporativos. Y a medida que los defensores intensifican su juego, los atacantes hacen lo mismo.

«El año pasado ha demostrado que los actores de amenazas respaldados por estados nacionales están invirtiendo cada vez más tiempo y dinero para desarrollar formas novedosas de acceder a los datos en Microsoft 365″, dijo Josh Madeley, gerente de servicios profesionales de Mandiant, en una sesión informativa titulada » Nube con posibilidades de APT: Novedosos ataques de Microsoft 365 en la naturaleza «durante el Black Hat United states de este año.

Estos atacantes están especialmente interesados ​​en Microsoft 365 porque es donde cada vez más organizaciones almacenan sus datos y colaboran, continuó Madeley. Las aplicaciones como el correo electrónico, SharePoint, OneDrive y Energy BI pueden contener una gran cantidad de información a must have para los atacantes.

«Si eres un actor de amenazas motivado por el espionaje, Microsoft 365 es el santo grial», dijo.

En la charla, Madeley y el co-presentador Doug Bienstock, gerente de respuesta a incidentes en Mandiant, analizaron las lecciones aprendidas de las campañas de espionaje a gran escala que han observado durante el año pasado. Las técnicas que vieron ayudaron a los atacantes a deshabilitar funciones de seguridad como la auditoría y el registro, automatizar el robo de datos con tácticas antiguas y abusar de las aplicaciones empresariales con otras nuevas. También mantuvieron su acceso abusando de SAML y los servicios de federación de Lively Directory.

Madeley inició la charla con métodos para evadir la detección. Los atacantes no están interesados ​​en modificar datos, dijo. Quieren robar los datos, revisarlos y comprenderlos. Hay formas sigilosas de hacer esto, pero los atacantes quieren mejorar sus tácticas y dificultar que los defensores los atrapen, «especialmente si quieren perpetrar el robo de datos durante años», dijo.

Una forma de hacerlo es desactivando las funciones de seguridad. Todos los administradores de dominio tienen acceso a los registros de auditoría en Microsoft 365, aunque las organizaciones que pagan por una suscripción E5 tienen acceso a la auditoría avanzada. Esto viene con MailItemsAccessed, una función que registra cualquier interacción con objetos de elementos de correo dentro de un período de 24 horas, después del cual se limita.

Es una característica problemática para los atacantes que buscan robar en los buzones de correo corporativos, señaló Madeley. Necesitaban encontrar una forma de evitarlo.

«Afortunadamente, Microsoft se lo entregó en el cmdlet Set-MailboxAuditBypassAssociation», continuó. Esto evita el registro de acciones del buzón para usuarios específicos. Cuando se configura, las acciones del propietario del buzón realizadas por usuarios específicos que tienen la configuración de omisión no se registrarán. Las acciones delegadas realizadas por usuarios específicos en otros buzones de correo de destino no se registran, y ciertas acciones administrativas tampoco se registrarán, explicó Madeley.

«Sería muy útil supervisar la ejecución de este cmdlet en su inquilino», dijo sobre Set-MailboxAuditBypassAssociation. Si una organización está monitoreando el robo de datos, puede perder actividad maliciosa si no se registra la bandeja de entrada de un atacante.

Una forma más eficiente de evitar el registro es degradar las licencias de los usuarios críticos de E5 a E3, dijo Madeley. Esto deshabilita el registro de MailItemsAccessed sin afectar ninguna de las funciones que la mayoría de las personas usarán a diario.

«Estas son técnicas realmente simples, una vez que le da acceso de administrador a un inquilino, para realizar estos cambios y permitir el robo de datos a largo plazo», agregó.

Abuso del permiso de la carpeta del buzón
Otra técnica discutida fue el abuso de los permisos de las carpetas del buzón, que actúan como una alternativa a las delegaciones del buzón. Dentro de un buzón, un propietario, administrador o cuenta con permisos de acceso completo puede otorgar permisos a otros usuarios que les permitan acceder a carpetas específicas dentro de un buzón. Hay muchos casos de uso legítimos para esto: compartir calendarios, tener buzones de correo de equipo o permitir que los asistentes de administración accedan a carpetas particulares.

«Al igual que los administradores, los atacantes que han adquirido suficientes permisos para un buzón de correo o un inquilino pueden modificar estos permisos para permitirles acceder al contenido de la carpeta», dijo Madeley. Es una técnica más antigua primero documentado por Black Hills Protection en 2017, pero sigue siendo eficaz.

Recientemente, el equipo de respuesta a incidentes vio a un actor de APT perder el acceso a múltiples entornos utilizando un medio sofisticado para apuntar a los buzones de correo, solo para recurrir a este método de abusar de los permisos de las carpetas de los buzones de correo.

«Lo que fue aún más fascinante es que, cuando recurrieron a este método, no se hicieron modificaciones en el entorno para habilitarlo durante el tiempo de nuestra investigación, lo que significaba que esos cambios se habían hecho mucho antes», señaló. .

En última instancia, los atacantes buscarán roles con permisos de ReadItems, ya que esto otorga acceso para leer elementos de correo en una carpeta específica. Hay varios roles con este permiso: autor, editor, autor no editor, propietario, editor editorial, autor editorial y revisor. Madeley dijo que Reviewer, específicamente, es el que su equipo ha visto usar a los atacantes.

Además de los usuarios dentro del inquilino, hay dos usuarios especiales: un usuario anónimo o cualquier usuario externo no autenticado y el usuario predeterminado o «todos». Este último incluye cualquier usuario interno y autenticado. De forma predeterminada, el acceso para ambos tipos de usuarios se establece en Ninguno.

Sin embargo, un atacante puede aprovecharse. Madeley ha visto a los atacantes asignar un usuario predeterminado al rol de revisor, lo que permitiría a cualquier usuario autenticado acceder a la carpeta del buzón. Los permisos no descienden en cascada de «secundario» a «principal» para las carpetas existentes, pero las carpetas recién creadas heredarán el permiso. Esto se puede «hacer trivialmente» mediante el cmdlet Set-MailboxFolderPermission, señaló.

El atacante aún necesitará mantener cierto nivel de acceso a través de una cuenta válida sin embargo, con esta modificación, no es necesario que mantengan el acceso a una cuenta específica a la que desean dirigirse diaria o semanalmente. En su lugar, pueden usar una cuenta comprometida para acceder a 10 buzones de correo con permisos de carpeta modificados.

Kelly Sheridan es la editora de private de Dim Reading through, donde se centra en noticias y análisis de ciberseguridad. Es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia authentic