Llegamos a ustedes gracias a:



Reportajes y análisis

Los nuevos valores predeterminados de Microsoft 365

La versión beta de Application Guard, agregan protecciones de correo electrónico

[27/10/2020] Microsoft está lanzando más configuraciones de seguridad en Microsoft 365 que aumentarán la seguridad de forma predeterminada. Debe evaluar algunas de estas configuraciones para determinar su impacto en sus procesos de negocio.

Uno de los nuevos valores predeterminados de Microsoft 365 tiene que ver con el reenvío de correo electrónico. A partir del primero de septiembre, Microsoft ha cambiado los controles predeterminados de reenvío de correo electrónico externo de Microsoft 365 ATP. Los mensajes que se reenvían automáticamente fuera de la organización se bloquearán, y se enviará al usuario un informe de no entrega (NDR, por sus siglas en inglés).

Los atacantes saben que, si se mueven dentro de una computadora de escritorio y se apoyan en Outlook, pueden ejecutar scripts de PowerShell para configurar reglas ocultas con el fin de reenviar correos electrónicos. He visto un ataque por correo electrónico reciente, el cual cambió la dirección de respuesta a alguien fuera de la organización, redirigiendo la respuesta al atacante.

Correo electrónico enviado con campo de respuesta ajustado.
Microsoft 365

Ejecute el informe de mensajes reenviados automáticamente para identificar qué usuarios de su campo reenvían automáticamente mensajes fuera de la organización. Luego, concéntrese en los usuarios con reenvíos SMTP o reglas de bandeja de entrada y planifique de acuerdo con esto. Las reglas de transporte de intercambio (ETR, por sus siglas en inglés) no se ven afectadas por este cambio. Luego configure las políticas de spam saliente para permitir el reenvío externo automático destinado a toda su organización o a usuarios específicos. Este cambio no afecta el reenvío automático interno de mensajes.

Si tiene o planea configurar el reenvío externo, se bloqueará de forma nativa por defecto en el futuro. Si necesita esta función, deberá tomar medidas para continuar haciéndolo.

Un correo electrónico, que pretendía ser una transacción financiera, llegó a mi oficina hace poco. El remitente era alguien que había hecho negocios con la empresa y estaba conectado a un cliente de la empresa. Había habido correos electrónicos con este remitente unos días antes. El correo electrónico tenía un archivo HTML adjunto. El atacante había ingresado a su sistema de correo electrónico y había cambiado la respuesta a un dominio ubicado en Letonia.

El encabezado muestra que el correo electrónico provino de la cuenta de Microsoft 365 del remitente, por lo que el atacante no había engañado al remitente. Luego, el atacante agregó una respuesta a un correo electrónico de envío con un comando de PowerShell en este formato: $msg.headers.add ("Responder a, "john@contoso.com). El atacante tomó un correo electrónico limpio, que pasó a través de muchas plataformas de higiene de correo electrónico, y adjuntó un archivo HTML diseñado para recopilar credenciales. Programaron la respuesta para que se enviara a una dirección de correo electrónico bajo su control.

Encabezados de correo enviados a través de Microsoft 365.
Microsoft 365

Frecuentemente, los atacantes alojarán plataformas de prueba para ver si la campaña tiene éxito, y luego pasarán a una plataforma de producción para lanzar el ataque. Los procesos que puede utilizar para protegerse de este tipo de campañas incluyen la desactivación de macros, el endurecimiento de los controles de seguridad del correo electrónico y la supervisión del tráfico a los dominios de nivel superior (TLD, por sus siglas en inglés) comúnmente abusados.

Para todas las versiones de Office, evalúe si sus usuarios necesitan usar macros. Eduque a sus usuarios sobre los mensajes de advertencia que recibirán una vez que hayan abierto un archivo de Word o Excel que incluya macros, y las acciones apropiadas que se deben tomar al recibir archivos adjuntos. El CERT ha estado advirtiendo a los usuarios sobre cómo manejar los archivos adjuntos durante muchos años. Aquí hay un breve resumen de sus consejos:

  • Tenga cuidado con los archivos adjuntos no solicitados, incluso de personas que conoce. Antes de abrir cualquier archivo adjunto, consulte con la persona que supuestamente envió el mensaje para asegurarse de que sea legítimo. Tenga en cuenta que los ISP y los proveedores de software no envían actualizaciones ni software por correo electrónico.
  • Mantenga el software actualizado.
  • Confíe en sus instintos. Si un correo electrónico o un archivo adjunto de correo electrónico parecen sospechosos, no lo abra -aunque su software antivirus indique que el mensaje está limpio.
  • Guarde y escanee los archivos adjuntos antes de abrirlos. Si tiene que abrir un archivo adjunto antes de poder verificar la fuente, siga los siguientes pasos: (1) Asegúrese de que las firmas de su software de antivirus estén actualizadas. (2) Guarde el archivo en su computadora o en un disco. (3) Escanee manualmente el archivo con su software antivirus. (4) Si el archivo está limpio y no parece sospechoso, continúe y ábralo.
  • Desactive la opción de descargar archivos adjuntos automáticamente.
  • La mayoría de los sistemas operativos le dan la opción de crear varias cuentas de usuario con diferentes privilegios. Considere leer su correo electrónico en una cuenta con privilegios restringidos. Algunos virus necesitan privilegios de "administrador para infectar una computadora.
  • Aplique prácticas de seguridad adicionales. Es posible que pueda filtrar ciertos tipos de archivos adjuntos a través de su software de correo electrónico o mediante un firewall.

Probar Application Guard

Recientemente, Microsoft anunció una nueva plataforma sandbox para proteger a los usuarios de la apertura de archivos adjuntos de Office, llamada Application Guard for Office. Esto ahora está en vista previa pública, pero está desactivada por defecto. Para verla en acción, necesita Microsoft 365 E5 o Microsoft 365 E5 Security como licencia base. Como requisito mínimo de software, necesita lo siguiente:

  • Edición de Windows 10 Enterprise, versión de compilación del cliente 2004 (20H1) compilación 19041
  • Office Beta Channel Build versión 2008 16.0.13212 o posterior
  • Actualizaciones de seguridad mensuales acumulativas de Windows 10 KB4566782 (la actualización de agosto).

Luego instale el paquete de activación de Office. Este paquete instala una política de grupo llamada "KB4559004 Issue 001 Preview en "Configuración del Equipo\Plantillas Administrativas. Configure esta política de grupo en "Habilitada.

Application Guard en uso.
Microsoft Office 365

Para obtener una vista previa de esto, acceda a la cuenta de Office y suscríbase al programa Office Insider. Una vez que haya habilitado la versión beta de Office y se haya asegurado de que el sistema operativo esté en la versión Enterprise, puede probar el impacto de la función de espacio aislado. Revise todos los pasos necesarios desde la página de Office. Una vez que esté habilitada y abra un documento que no es de confianza, verá una pantalla de presentación en Word, Excel, PowerPoint, etc. que indica que Application Guard está en uso:

La barra de cinta indicará que el archivo está en Application Guard, al igual que el ícono de la barra de tareas de la aplicación. En este momento, si recibe actualizaciones de .NET, puede recibir mensajes de error cuando Application Guard for Office se abra y deberá reiniciar su computadora.

Algunas interacciones pueden significar que deberá planificar que algunos usuarios tengan Application Guard y otros no. Como señala Microsoft, esto aísla los documentos, que no son de confianza, del acceso a recursos corporativos confiables, intranet, la identidad del usuario y archivos arbitrarios presentes en la computadora. Por lo tanto, puede impedir que un usuario inserte archivos de otras ubicaciones en el documento en el que está trabajando. En el caso particular que cuente con usuarios que han sido el blanco de atacantes en el pasado, o cree que podrían ser atacados, es posible que desee comenzar el proceso de prueba de esta solución para su oficina.

Crédito foto: Gerd Altmann / Microsoft / Licencia: CC0