Microsoft informa sobre los ataques analizados en el intercambio en la nube. Los atacantes penetraron en las cuentas de intercambio en la nube mediante el relleno de credenciales, contraseñas conocidas de violaciones de datos anteriores, todo sin autenticación multifactor (MFA). Entonces todo se configuró para el spam masivo a través de estas cuentas.
Los investigadores de Microsoft investigaron recientemente un ataque en el que se implementaron aplicaciones maliciosas de autorización abierta (OAuth) en inquilinos de la nube comprometidos y luego se usaron para controlar la configuración de Exchange Online y propagar spam. La investigación reveló que el actor de amenazas lanzó ataques de relleno de credenciales contra cuentas de alto riesgo que no tenían habilitada la autenticación multifactor (MFA) y aprovechó las cuentas de administrador no seguras para obtener acceso inicial.
El acceso no autorizado al inquilino de la nube permitió al actor crear una aplicación habilitada para OAuth que agregó un conector entrante malicioso en el servidor de correo electrónico. Luego, el actor usó el conector para enviar correos electrónicos no deseados que parecían provenir directamente del dominio. Incluso si un administrador cambiara más tarde la contraseña de acceso para su intercambio en la nube, los atacantes podrían continuar enviando spam porque aún podrían identificarse desde la aplicación colocada con OAuth.
Aumento del abuso de las aplicaciones OAuth
Microsoft ha observado la creciente popularidad del abuso de aplicaciones OAuth. Uno de los primeros usos maliciosos observados de las aplicaciones OAuth en la naturaleza es el phishing de consentimiento. Los ataques de phishing de consentimiento tienen como objetivo engañar a los usuarios para que otorguen permisos a aplicaciones OAuth maliciosas para obtener acceso a los servicios en la nube legítimos de los usuarios (servidores de correo, almacenamiento de archivos, API de administración, etc.). En los últimos años, Microsoft ha observado que cada vez más actores de amenazas, incluidos actores de estados nacionales, utilizan aplicaciones OAuth para diversos fines maliciosos: comunicación de comando y control (C2), puertas traseras, phishing, redireccionamientos, etc.
Este ataque reciente involucró una red de aplicaciones de inquilino único instaladas en organizaciones comprometidas y utilizadas como plataforma de identidad del actor para llevar a cabo el ataque. Una vez que se descubrió la red, se cerraron todas las aplicaciones asociadas y se enviaron notificaciones a los clientes, incluidas las acciones correctivas recomendadas.
Todas las cuentas maltratadas sin uso de MFA
En una publicación de blog, Microsoft muestra cómo funcionó la ruta técnica del ataque, así como la campaña de spam que siguió. El artículo también brinda orientación para los defensores sobre cómo proteger a las organizaciones de esta amenaza y cómo las tecnologías de seguridad de Microsoft la detectan.
Más en Microsoft.com
Acerca de Microsoft Alemania Microsoft Deutschland GmbH fue fundada en 1983 como la subsidiaria alemana de Microsoft Corporation (Redmond, EE. UU.). Microsoft se compromete a empoderar a todas las personas y todas las organizaciones del planeta para lograr más. Este desafío solo se puede superar juntos, razón por la cual la diversidad y la inclusión se han anclado firmemente en la cultura corporativa desde el principio. Como fabricante líder mundial de soluciones de software productivas y servicios modernos en la era de la nube inteligente y el borde inteligente, así como desarrollador de hardware innovador, Microsoft se ve a sí mismo como un socio de sus clientes para ayudarlos a beneficiarse de la transformación digital. La seguridad y la privacidad son las principales prioridades al desarrollar soluciones. Como el mayor contribuyente del mundo, Microsoft impulsa la tecnología de código abierto a través de su plataforma de desarrollo líder, GitHub. Con LinkedIn, la red profesional más grande, Microsoft promueve la creación de redes profesionales en todo el mundo.