El ataque de compromiso de correo electrónico que explotó la autenticación de varios factores de Microsoft

La autenticación multifactor (MFA) a menudo se cita como uno de los mejores métodos de seguridad disponibles para proteger cuentas y credenciales sensibles. Incluso si la contraseña se filtra o se roba, los hackers no pueden utilizarla para iniciar sesión en la cuenta sin ese segundo factor de autenticación. Sin embargo, para que sea efectiva, la MFA debe configurarse de manera adecuada y segura; de lo contrario, un astuto ciberdelincuente puede encontrar formas de eludirla.

El ataque de compromiso de correo electrónico que explotó la autenticación de varios factores de Microsoft - Seguridad | Imagen 1 Newsmatic

Un informe publicado el miércoles 24 de agosto por la firma de seguridad Mitiga examina una reciente campaña de compromiso de correo electrónico empresarial contra una organización que utiliza Microsoft 365. Los atacantes pudieron acceder a información confidencial aprovechando las configuraciones predeterminadas débiles en la autenticación multifactor de Microsoft, según Mitiga. Aunque las personas en la organización objetivo lograron evitar cualquier actividad fraudulenta, el incidente sirve como una advertencia sobre la configuración incorrecta de la MFA.

En este ataque, los ciberdelincuentes obtuvieron acceso no autorizado a la cuenta de Microsoft 365 de un ejecutivo en una organización desde múltiples ubicaciones, incluyendo Singapur, Dubái y San José, California.

Los atacantes lograron comprometer la cuenta y el buzón del usuario mediante una táctica de intermediario (AiTM, por sus siglas en inglés). Con un truco de AiTM, un adversario crea un servidor proxy entre la víctima y el sitio web que se va a acceder, lo que les permite capturar las contraseñas del objetivo y las cookies de sesión del navegador.

Para proteger la cuenta de la víctima, la organización había implementado la MFA de Microsoft a través de la aplicación Authenticator de Microsoft, lo cual debería haber impedido el uso de las credenciales robadas. Tras un análisis más detallado, Mitiga descubrió que se había configurado una segunda aplicación Authenticator sin el conocimiento de la víctima, lo que proporcionó a los atacantes los medios para seguir utilizando la cuenta comprometida.

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel
Índice de Contenido
  1. Microsoft MFA no siempre requiere un segundo factor de autenticación
  2. Consejos para prevenir ataques AiTM que aprovechan la MFA

Microsoft MFA no siempre requiere un segundo factor de autenticación

El problema, según Mitiga, radica en las configuraciones predeterminadas débiles para la MFA de Microsoft. Esta tecnología funciona decidiendo cuándo requerir ese segundo factor de autenticación, como en casos en los que alguien intenta acceder a recursos desde una dirección IP diferente, solicita privilegios de administrador elevados o intenta recuperar datos sensibles.

Analizando el token en una sesión de inicio de sesión activa, la MFA de Microsoft determina si la sesión ya ha sido autorizada. Si es así, no se requiere el segundo factor de autenticación. Pero esta decisión es tomada únicamente por el motor de autenticación de Microsoft; los clientes no pueden configurarla por sí mismos, según Mitiga.

El informe citó dos ejemplos en los que una decisión de la MFA de Microsoft de no requerir el segundo factor de autenticación puede ser problemática.

Un ejemplo involucra la función de Privileged Identity Management (PIM), a través de la cual los usuarios administrativos pueden trabajar con derechos no administrativos y luego utilizar la herramienta PIM para elevar sus permisos si es necesario. En este caso, un atacante podría utilizar PIM para elevar una cuenta no administrativa comprometida a una con privilegios de administrador.

En otro ejemplo, Microsoft no requiere un segundo factor de autenticación al acceder y cambiar los métodos de autenticación de usuario en la sección de Información de seguridad del perfil de la cuenta. Un usuario que ya había sido autorizado en una sesión puede agregar una nueva aplicación Authenticator sin ser desafiado. Así es como el atacante en el incidente citado por Mitiga pudo seguir utilizando la cuenta comprometida.

“Dado el crecimiento acelerado de los ataques de AiTM (incluso sin la persistencia permitida por un atacante que agrega un nuevo método de autenticación comprometido), está claro que ya no podemos confiar en la autenticación multifactor como nuestra principal línea de defensa contra los ataques de identidad”, afirmó Mitiga en el informe. “Recomendamos encarecidamente configurar otra capa de defensa, en forma de un tercer factor, vinculado a un dispositivo físico o al ordenador y teléfono autorizados del empleado.

Cómo proteger tu computadora de los virus: métodos y consejos

"Microsoft 365 ofrece esto como parte del Acceso Condicional al agregar un requisito de autenticación solo a través de un dispositivo inscrito y compatible, lo que evitaría por completo los ataques de AiTM”.

Consejos para prevenir ataques AiTM que aprovechan la MFA

En un comunicado enviado a Newsmatic, un portavoz de Microsoft también ofreció recomendaciones sobre cómo detener los ataques AiTM que pueden aprovechar la autenticación multifactor.

“Es importante ser consciente del phishing de AiTM, y recomendamos que los usuarios practiquen buenos hábitos informáticos en línea, incluyendo tener precaución al hacer clic en enlaces a páginas web, abrir archivos desconocidos o aceptar transferencias de archivos”, dijo el portavoz. “Recomendamos que los clientes utilicen Azure AD Conditional Access para establecer reglas específicas para niveles de riesgo permitidos, ubicaciones, cumplimiento de dispositivos y otros requisitos para evitar el registro de nuevas credenciales por parte de adversarios.

“Cuando sea posible, también recomendamos el uso de credenciales resistentes al phishing, como Windows Hello o FIDO. Para ayudar a proteger a los clientes contra este tipo de ataque, Authenticator ofrece información de contexto para advertir al usuario que su ubicación no es familiar o que la aplicación no es la que espera”.

Otro consejo viene de Aaron Turner, CTO de SaaS Protect en la empresa de ciberseguridad Vectra. Al señalar que la organización objetivo descrita por Mitiga estaba utilizando una configuración predeterminada relativamente débil en Microsoft 365, Turner afirmó que Microsoft ofrece una solución para detener los ataques de AiTM, pero es necesario fortalecerla.

Con ese fin, las organizaciones deben seguir estas tres pautas:

¡Defiéndete! Protege tu seguridad en línea contra amenazas críticas
  • Asegurarse de que el restablecimiento de contraseñas requiera dos factores de autenticación para poder restablecer las contraseñas de las cuentas.
  • Permitir que Microsoft Authenticator se instale únicamente a través de un Control de administración de aplicaciones móviles o de administración de dispositivos móviles establecido a través de Microsoft Intune.
  • Configurar políticas de Acceso Condicional para permitir únicamente que Microsoft Authenticator funcione desde aplicaciones administradas o desde dispositivos administrados.

“Esta combinación de controles habría protegido a la organización víctima en este caso”, agregó Turner. “Hemos observado que incluso estos controles pueden ser eludidos por actores estatales, por lo que invertir en capacidades de detección y respuesta adecuadas es fundamental para reducir la oportunidad de riesgo creada por atacantes sofisticados”.

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a El ataque de compromiso de correo electrónico que explotó la autenticación de varios factores de Microsoft , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.