Vulnerabilidad permite eludir autenticación multifactor de Microsoft 365

Recientemente una empresa de Ciberseguridad descubrió varias vulnerabilidades críticas en la implementación de la autenticación multifactor (MFA). 

Se trata de entornos de nube en los que se utiliza el protocolo WS-Trust para la autenticación. Estas vulnerabilidades permiten a los atacantes eludir la MFA y acceder a aplicaciones en la nube que utilizan el protocolo relevante. Esto también puede afectar a Microsoft 365. En caso de un ataque exitoso, un pirata informático podría obtener acceso completo a la cuenta de la víctima (incluido el correo electrónico, archivos, contactos, datos confidenciales, etc.). 

Las nuevas vulnerabilidades detectadas podrían servir asimismo para llegar a otros servicios en la nube ofrecidos por Microsoft, entre los que se encuentran entornos de producción y desarrollo como Azure y Visual Studio.

Las vulnerabilidades fueron demostradas por Proofpoint durante un evento virtual con usuarios Proofpoint Protect. En un comunicado, la empresa indica que lo más probable es que estos puntos débiles existan desde hace años y que, poniendo en práctica soluciones de proveedor de identidad (IDP), se han identificado las más susceptibles y resuelto sus problemas de seguridad.

Según la investigación de Proofpoint, la combinación del “protocolo inherentemente seguro” (WS-Trust), como así lo describía Microsoft, con diversos bugs (errores) en su aplicación daban como resultado estos puntos débiles. En ciertos casos el atacante podía falsear su dirección IP para eludir la AMF simplemente manipulando el encabezado de la solicitud.

En otras instancias, solo alterando la cabecera del usuario-agente, el IPD identificaba erróneamente el protocolo y creía que estaba empleando una autenticación moderna. Por su parte, Microsoft registraba en todos los casos la conexión como autenticación moderna, debido a que el exploit pivota del protocolo heredado al moderno. Así, los administradores y profesionales de seguridad que vigilan al inquilino pensarían que la conexión se ha realizado mediante autenticación moderna, sin ser conscientes de la situación y de los riesgos que esta conlleva realmente.

Phishing en tiempo real

A diferencia del phishing clásico, el phishing en tiempo real consiste en robar los datos de ambos registros, es decir, la contraseña y el segundo factor del MFA. Para este propósito, los ciberdelincuentes a veces usan un proxy que se alterna entre el sitio web real de la aplicación en la nube y la víctima. El sitio web del proxy se parece mucho al original. 

Al usar este sitio web fraudulento, el atacante manipula a la víctima de tal manera que entregue el código de autenticación del MFA después de sus datos de inicio de sesión. Estos ataques se pueden automatizar con herramientas como Modlishka. Sin embargo, los atacantes a menudo tienen que actualizar sus herramientas para evitar la exposición y requieren una infraestructura compleja.

Otra técnica de phishing en tiempo real que utilizan los atacantes es la reflexión de desafío, que implica pedir a los usuarios que completen las credenciales de MFA en un sitio de phishing. Los datos de acceso se comparten con los piratas informáticos inmediatamente después. Sin embargo, la implementación exitosa de este método requiere una acción manual en tiempo real por parte de los ciberdelincuentes en segundo plano.

Secuestro de canales

En el secuestro de canales, el teléfono o la computadora de la víctima suelen ser atacados con malware. El malware en cuestión puede usar lo que se conoce como tecnología de hombre en el navegador o inyecciones web para robar los datos relevantes. Por supuesto, los datos también se pueden robar directamente del teléfono móvil, por ejemplo, a través de mensajes de texto o pirateando el buzón de voz del número de teléfono asociado.

Protocolos heredados

Una forma más sencilla y económica de eludir la MFA es utilizar protocolos heredados para atacar cuentas en la nube. Muchas organizaciones todavía permiten que los dispositivos o aplicaciones heredados, como fotocopiadoras o cuentas compartidas, admitan estos protocolos para salas de conferencias.

En el caso de protocolos de correo electrónico más antiguos, como POP e IMAP, a veces no se admite MFA. Como resultado, no se requiere necesariamente un segundo factor de autenticación para obtener acceso a una cuenta. Este método de derivación se puede automatizar y utilizar fácilmente utilizando datos de inicio de sesión que provienen de ataques anteriores o se capturaron mediante phishing.

El análisis de Proofpoint de las amenazas en la nube ha demostrado que el 97 por ciento de las organizaciones encuestadas se vieron afectadas por ataques de fuerza bruta en la primera mitad de 2020. El 30 por ciento de ellos también tenía al menos una cuenta en la nube comprometida de la que quejarse. Al investigar los ataques a la nube basados ​​en el correo electrónico (suplantación de identidad de credenciales, malware, etc.), la empresa descubrió que el 73 por ciento de todos los sistemas monitoreados fueron atacados y el 57 por ciento de ellos comprometidos.

Cuando se trata de seguridad en la nube, MFA no es garantía de evitar ciberataques exitosos. Mientras más organizaciones implementen la tecnología, más usuarios y brechas de seguridad habrá de los que los atacantes pueden abusar. Sin embargo, MFA puede ayudar a mejorar la situación general en términos de seguridad de TI. Esto es especialmente cierto en combinación con capacitación en seguridad orientada a las personas y controles de acceso constantes.