Imagen: Getty/Motoración
Los ciberdelincuentes están explotando cuentas inactivas de Microsoft para evitar la autenticación multifactor (MFA) y obtener acceso a servicios y redes en la nube, advirtieron los investigadores.
La técnica ha sido detallada por investigadores de ciberseguridad de Mandiant, quienes dicen que el exploit está siendo utilizado en campañas de piratería por parte de APT29, también conocido como Cozy Bear, una operación de piratería y espionaje que se cree que está vinculada al Servicio de Inteligencia Exterior de Rusia (SVR). Se cree que otros grupos ofensivos de amenazas cibernéticas están utilizando las mismas tácticas.
La autenticación multifactor es una herramienta útil para las organizaciones que buscan evitar la apropiación de cuentas y los ciberataques contra los servicios en la nube y otras partes de la red. Sin embargo, si bien es extremadamente eficaz para defenderse de intrusiones, no es infalible y los ciberatacantes están encontrando formas de evitarlo.
Según Mandiant, los ciberdelincuentes están explotando el proceso de autoinscripción para aplicar MFA a Microsoft Azure Active Directory y otras plataformas para tomar el control de Microsoft 365 y otras cuentas.
VER: Los piratas informáticos están encontrando formas de evitar la autenticación multifactor. Esto es lo que debe tener en cuenta
Cuando las organizaciones implementan MFA por primera vez para los usuarios, muchas plataformas les permiten inscribir su dispositivo MFA (generalmente su teléfono inteligente) la próxima vez que inicien sesión. Este proceso se sigue a menudo porque es la forma más eficiente de proporcionar MFA a la mayor cantidad posible de usuarios. para ayudar a proteger sus cuentas.
Pero como señalan los investigadores, si no hay una verificación adicional en torno al proceso de inscripción en MFA, cualquiera que conozca el nombre de usuario y la contraseña de una cuenta puede aplicarle la autenticación multifactor, siempre y cuando sea la primera persona en hacerlo, y los piratas informáticos. están utilizando esto para obtener acceso a las cuentas.
En un caso detallado por Mandiant, los atacantes atribuidos a APT29 obtuvieron acceso a una lista de buzones de correo no divulgados que obtuvieron a través de medios desconocidos y lograron adivinar la contraseña de una cuenta que se había configurado, pero que nunca se usó.
El atacante al que Azure Active Directory le pidió que configurara la autenticación multifactor no solo tenía control de la cuenta, sino que también pudo vincular MFA a un dispositivo de su propiedad, explotando MFA para proporcionarles acceso a la cuenta en lugar de mantenerlos fuera. .
CARACTERÍSTICA ESPECIAL DE : ASEGURANDO LA NUBE
Desde aquí, los atacantes pudieron usar la cuenta para acceder a la infraestructura VPN de la organización víctima. Los investigadores no revelan la víctima ni cuál era el objetivo de este ataque, aunque se sabe que APT29 tiene como objetivo los intereses de Estados Unidos y los de la OTAN y los países socios.
El incidente muestra que, incluso con MFA implementada, es posible que los ciberdelincuentes eludan las funciones de protección para acceder y explotar cuentas inactivas, algo que podría pasar desapercibido durante algún tiempo.
Para contrarrestar esto, se recomienda que las organizaciones garanticen que se implementen protecciones adicionales para verificar que el usuario que registra la cuenta sea legítimo.
“Las organizaciones pueden restringir el registro de dispositivos MFA sólo a ubicaciones confiables, como la red interna o dispositivos confiables. Las organizaciones también pueden optar por exigir que MFA registre a MFA”, dijo Douglas Bienstock, gerente de respuesta a incidentes de Mandiant.
“Para evitar la situación del huevo y la gallina que esto crea, los empleados de la mesa de ayuda pueden emitir pases de acceso temporal a los empleados cuando se unen por primera vez o si pierden su dispositivo MFA. El pase se puede usar por un tiempo limitado para iniciar sesión, evitar MFA, y registrar un nuevo dispositivo MFA”, añadió.
Microsoft lanzó recientemente una función que permite a las organizaciones aplicar controles en torno a la inscripción de dispositivos MFA, lo que puede ayudar a evitar que los ciberdelincuentes obtengan acceso a las cuentas. se ha puesto en contacto con Microsoft para solicitar comentarios.
Dado que las cuentas inactivas son los objetivos clave de esta campaña en particular, también podría ser útil que los equipos de seguridad de la información sepan qué cuentas nunca se han utilizado, e incluso podrían retirarlas si no sirven para ningún propósito útil.
También vale la pena asegurarse de que estas cuentas no estén protegidas con contraseñas predeterminadas, que los ciberatacantes pueden desactivar fácilmente.