Atacantes se aprovechan de las opciones de omisión de MFA para las adquisiciones de cuentas

Un aumento en los ataques de correo electrónico empresarial se atribuye a compromisos exitosos de autenticación multifactor (MFA) y controles de acceso condicional, según investigadores. 

Si bien las técnicas de fuerza bruta y de rociado de contraseñas son la forma más común de organizar la apropiación de cuentas, los ciberdelincuentes más metódicos pueden obtener acceso a las cuentas incluso con protocolos MFA más seguros.

Según Abnormal Security, los ciberdelincuentes se están concentrando en los clientes de correo electrónico que no admiten la autenticación moderna, como los clientes de correo electrónico móviles (por ejemplo, iOS Mail para iOS 10 y versiones anteriores); y protocolos de correo electrónico heredados, incluidos IMAP, SMTP, MAPI y POP. Por lo tanto, incluso si MFA está habilitado en la cuenta de correo electrónico corporativa, un empleado que revise el correo electrónico a través del móvil no estará sujeto a esa protección.

«Si bien MFA y los protocolos de autenticación modernos son un avance importante en la seguridad de la cuenta y deben usarse siempre que sea posible… esto significa que no es posible hacer cumplir MFA cuando un usuario inicia sesión en su cuenta usando una de estas aplicaciones», dijo Erin Ludert.

Por lo tanto, señaló que un patrón común en los ataques de apropiación de cuentas es que, después de ser bloqueado por MFA, un adversario cambiará inmediatamente al uso de una aplicación heredada.

«De hecho, la mayoría de las campañas de relleno de credenciales utilizan aplicaciones heredadas como IMAP4 para garantizar que no encuentren dificultades con MFA en ningún momento», dijo Ludert, y agregó: «Muchas empresas tienen la impresión errónea de que están completamente protegidas por MFA y no es necesario preocuparse por las adquisiciones de cuentas. Esta es una suposición peligrosa «.

Mientras tanto, muchas licencias de Office 365 brindan la capacidad de configurar políticas de acceso condicional, que bloquean el acceso de los usuarios a ciertas aplicaciones. Esto se puede usar para bloquear aplicaciones heredadas que pueden estar destinadas a campañas de rociado de contraseñas, por ejemplo. Sin embargo, de acuerdo con Seguridad anormal, los atacantes también se centran en descubrir objetivos que no tienen esto implementado, o evitarlo.

“En primer lugar, el acceso condicional no está incluido en todas las licencias, lo que significa que muchas empresas simplemente no tienen forma de protegerse de este tipo de ataque”, dijo Ludert. “Además, las aplicaciones heredadas todavía se utilizan ampliamente en la mayoría de las empresas. Bloquear completamente a todos los usuarios del acceso legítimo que utilizan estas aplicaciones será bastante perjudicial para la fuerza laboral. Además, el acceso heredado está habilitado de forma predeterminada en Office 365. Para bloquear de manera efectiva el acceso heredado, debe deshabilitarse por inquilino, para todos los usuarios y plataformas «.

Además, intentar aplicar el bloqueo heredado según la plataforma (Windows, móvil, etc.) depende del agente de usuario para hacerlo. El agente de usuario es básicamente el agente de software que actúa en nombre de un usuario, como un navegador web o un lector de correo electrónico, y como tal, es muy fácil de falsificar, señaló el investigador. Por lo tanto, incluso con el acceso condicional en su lugar, los ciberdelincuentes están montando ataques al ocultar la aplicación que están usando.

«En un caso, el atacante inicialmente intentó iniciar sesión utilizando una aplicación heredada, pero fue bloqueado por acceso condicional», dijo Ludert. «El atacante esperó varios días antes de volver a intentarlo, esta vez con la información de la aplicación oculta, y logró acceder a la cuenta».

A medida que la AMF se generaliza, los ciberdelincuentes buscan mantenerse un paso por delante. En mayo, los investigadores observaron una campaña de phishing que pasó por alto MFA en Office 365 para acceder a los datos de las víctimas almacenados en la nube y usarlos para obtener un rescate de Bitcoin; los atacantes utilizaron un enlace de SharePoint malicioso para engañar a los usuarios para que concedieran permisos a una aplicación maliciosa.