[23/03/2021] Recientemente, Malwarebytes informó que los hackers de SolarWinds accedieron a sus correos electrónicos internos utilizando el mismo vector de intrusión que usaron en otros ataques. Este parece abusar de aplicaciones con acceso privilegiado a los entornos de Microsoft Office 365 y Azure. El representante declaró que "la investigación indicó que los atacantes aprovecharon un producto de protección de correo electrónico inactivo dentro de nuestro inquilino de Office 365 que permitió el acceso a un subconjunto limitado de correos electrónicos internos de la empresa". La secuencia del ataque sugiere que el atacante engañó a un usuario final para que autorizara a un sitio compartir la autenticación a través de OAuth.
OAuth 2.0 es un estándar abierto para la autenticación y autorización basada en tokens que permite a la aplicación obtener autorización, sin exponer directamente las contraseñas de los usuarios. Hacer esta conexión vinculada puede autorizar inadvertidamente a un producto de terceros a tener más derechos de los que usted pretende. Es una de las razones por las que recomiendo establecer siempre la configuración de OAuth para que usted, el administrador, deba aprobar el acceso o, como mínimo, supervisar estas aprobaciones.
Cómo los atacantes explotan OAuth
La secuencia de ataque comienza con un correo electrónico de phishing que atrae al usuario para que haga clic en un enlace o apruebe una acción. Esta simple acción permite al atacante leer los correos electrónicos del usuario y su información de contacto como mínimo. En los ataques denunciados, el token de acceso OAuth suele imitar la marca de la empresa objetivo para que los usuarios sospechen menos. A continuación, se solicita al usuario una pantalla que concede un acceso limitado a los recursos.
Los atacantes construyen señuelos de phishing que utilizan un servicio en la nube que lanzará un enlace específico de solicitud de autorización OAuth. Logrando que el usuario haga clic para aprobar los derechos, el atacante puede actuar como ese usuario en todo el ecosistema donde se utiliza OAuth. Añadir la autenticación multifactor no evitará estos ataques. Es necesario añadir políticas de revisión para ciertas actividades y acciones anómalas.
Cómo prevenir los ataques basados en OAuth
En primer lugar, determine cómo es que su organización utiliza las aplicaciones OAuth 2.0 de terceros. ¿Añadir la aprobación del usuario está limitado en su alcance o por necesidad donde puede añadir fácilmente el mandato de la aprobación del administrador? Si su proceso de aplicación es limitado, recomiendo encarecidamente utilizar la configuración más restrictiva, de que todo uso de OAuth debe ser aprobado por un administrador antes de que un usuario pueda añadir acceso a una aplicación.
Las técnicas de ataque de MITRE utilizadas en estos ataques observados incluyen el uso de una relación de confianza con Office 365, así como el uso de la técnica de robo de token de acceso. Puede supervisar y establecer alertas para estos problemas de varias maneras.
En primer lugar, configure el consentimiento del administrador a las aplicaciones. Microsoft ha añadido un punto intermedio. En lugar de los dos extremos de "No permitir el consentimiento del usuario", que bloquea todo, y "Permitir el consentimiento del usuario para las aplicaciones", que permite todo, Microsoft ha añadido una tercera opción: "Permitir el consentimiento del usuario para aplicaciones de editores verificados y de permisos seleccionados". Esta selección permite a los usuarios utilizar las credenciales de Azure Active Directory para iniciar sesión en aplicaciones de terceros, pero sigue requiriendo el consentimiento del administrador para las aplicaciones que intentan leer datos de sus activos en la nube. Incluso puede crear una política de consentimiento de aplicaciones personalizada.
Para configurar esto, inicie sesión en el Portal de Azure como administrador global y seleccione en orden:
- "Azure Active Directory”
- "Aplicaciones empresariales”
- "Consentimiento y permisos”
- "Configuración del consentimiento del usuario”
En "Consentimiento del usuario para aplicaciones", seleccione la configuración de consentimiento que desea para todos los usuarios.
Seleccione la configuración del consentimiento del usuario.
La configuración por defecto de Microsoft 365 es permitir el consentimiento del usuario para las aplicaciones. Como Microsoft señala en su página de configuración, todos los usuarios pueden permitir que las aplicaciones accedan a los datos de su organización en su nombre. Microsoft recomienda utilizar la configuración intermedia, que permite el consentimiento del usuario para las aplicaciones de los editores verificados.
Elija editores verificados.
A continuación, se explica cómo configurar un flujo de trabajo de consentimiento de administrador:
- Inicie sesión en el Portal de Azure como administrador global.
- Haga clic en "Todos los servicios" en el menú de navegación superior de la izquierda para abrir la extensión de Azure Active Directory.
- En el cuadro de búsqueda del filtro, escriba "Azure Active Directory".
- Seleccione el ítem Azure Active Directory en su proceso de búsqueda.
- En el menú de navegación, seleccione "Aplicaciones empresariales".
- En "Gestionar", seleccione "Configuración de usuario".
- En "Solicitudes de consentimiento de los administradores (vista previa)", seleccione "Sí” en la opción "Los usuarios pueden solicitar el consentimiento de los administradores para las aplicaciones a las que no pueden dar su consentimiento".
Configure los consentimientos del administrador.
Ahora configure los siguientes ajustes:
- Seleccione quién revisará las solicitudes de consentimiento de los administradores. Estos usuarios deben ser administradores globales, y tener roles de administrador de aplicaciones y de administrador de aplicaciones en la nube. Habilite o deshabilite las notificaciones por correo electrónico a los revisores seleccionados cuando realice una solicitud eligiendo los usuarios seleccionados.
- Habilite las notificaciones de correo electrónico de recordatorio a los revisores cuando una solicitud está a punto de expirar.
- Establezca el límite de tiempo para que una solicitud de consentimiento sea válida.
Sus usuarios pedirán permiso y pulsarán un botón para solicitar la aprobación. La solicitud de aprobación será enviada a los revisores designados para su aprobación. Estos tendrán la opción de aprobar la solicitud, denegarla, o bloquearla según sea necesario.
Si tiene Microsoft Defender para Office, debería recibir una alerta de que se ha concedido un permiso sospechoso a una aplicación OAuth. Haga un seguimiento y revise estas alertas. Si su inquilino aún no lo ha hecho, desactive el reenvío automático en Office 365. Este es un nuevo valor predeterminado en la configuración de Microsoft 365. Microsoft se ha dado cuenta de que los atacantes suelen utilizar el reenvío automático, por lo que ahora 365 lo bloquea por defecto.
Si tiene una licencia de Cloud App Security puede ir aún más lejos, e investigar las aplicaciones en la nube que presentan riesgos. En el portal, vaya a "Investigar" y luego a "Aplicaciones OAuth". Revise qué aplicaciones se han conectado a su dominio y qué permisos tienen en su entorno.
Investigue las conexiones OAuth.
Los atacantes suelen saber cómo atacar sus sistemas mejor de lo que usted sabe protegerlos. Tómese el tiempo necesario para investigar las técnicas de ataque más comunes que se utilizan en los ataques dirigidos a la nube. Asegúrese de configurar sus aplicaciones en la nube para que estén protegidas desde el principio. Establecer las alertas y los permisos adecuados para las aplicaciones OAuth es una forma clave de mantener su red segura y protegida.
Basado en el artículo de Susan Bradley (CSO) y editado por CIO Perú