Llegamos a ustedes gracias a:



Reportajes y análisis

Los ataques a Microsoft 365 más peligrosos (e interesantes)

[27/08/2021] Los hackers patrocinados por gobiernos, que llevan a cabo campañas de ciberespionaje, invierten más recursos que nunca para encontrar nuevas formas de atacar la nube. Uno de sus objetivos preferidos es Microsoft 365, anteriormente llamado Office 365, una plataforma utilizada por un número cada vez mayor de organizaciones de todos los tamaños.

Desde la perspectiva de un recolector de inteligencia, tiene sentido apuntar a dicha plataforma. "Microsoft 365 es una mina de oro, señala, Doug Bienstock, gerente de respuesta a incidentes de Mandiant. "La gran mayoría de los datos de una organización probablemente estarán en Microsoft 365, ya sea en el contenido de correos electrónicos individuales o en archivos compartidos en SharePoint o OneDrive, o incluso en mensajes de Teams.

[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]

Las empresas que dependen en gran medida de Microsoft 365 tienden a adoptarlo en casi todos los aspectos de su trabajo, desde la redacción de documentos hasta la planificación de proyectos, la automatización de tareas o el análisis de datos. Algunos también usan Azure Active Directory como proveedor de autenticación para sus empleados, y los atacantes lo saben. "Obtener acceso a Active Directory puede, por extensión, otorgarles acceso a otras propiedades de la nube, anota Josh Madeley, gerente de respuesta a incidentes de Mandiant.

Durante su reciente charla en Black Hat USA 2021, Madeley y Bienstock presentaron algunas de las técnicas novedosas utilizadas por los hackers de los estados naciones en campañas dirigidas a los datos almacenados en Microsoft 365. Los investigadores mostraron cómo los grupos de APT han evolucionado para evitar la detección y extraer cientos de gigabytes de datos de sus víctimas.

"Estos atacantes están invirtiendo mucho tiempo y esfuerzo en aprender sobre Microsoft 365, afirma Bienstock. "Saben mucho más sobre Microsoft 365 que su administrador. Saben más sobre Microsoft 365 que probablemente algunos empleados de Microsoft.

Evitar la detección

El año pasado, los grupos de APT mejoraron su capacidad para evitar la detección, empleando algunas técnicas que nunca se habían visto. "Uno de ellos es degradar las licencias de usuario de una licencia de Microsoft 365 E5 a una licencia E3, afirma Madeley. Por lo general, aparece al principio de un ataque.

La licencia E5 ofrece administración de identidades y aplicaciones, protección de la información y protección contra amenazas. Esto ayuda a las organizaciones a detectar e investigar amenazas, y descubrir actividades maliciosas tanto on premises como en el ambiente de la nube, características de las que carece la licencia E3. "Gran parte de la telemetría avanzada, en la que confían las organizaciones más maduras para la detección, viene con esa licencia E5, afirma Madeley. "Entonces, aunque el actor de la amenaza puede estar ahorrándoles dinero a las organizaciones víctimas, en realidad están deshabilitando con mucha facilidad los mecanismos de detección más efectivos que tienen las organizaciones.

Abuso del permiso de la carpeta de buzón

Los dos investigadores vieron que los grupos de APT usaban la degradación de licencias junto con una técnica más antigua que ha existido desde el 2017, el abuso de permisos de carpetas de buzones, descrito por primera vez por Beau Bullock en Black Hills Information Security en el contexto de equipos de hackers patrocinados.

"Existe una analogía entre los permisos de carpeta en su escritorio y los permisos de carpeta en un buzón, afirma Madeley. "Puede asignar permisos a usuarios para buzones o carpetas específicos dentro de su buzón. Una persona puede, por ejemplo, tener acceso de lectura a la carpeta del buzón de correo de proyectos especiales de otra persona si los dos están trabajando juntos en esos proyectos. O, alguien podría dar a sus colegas acceso de lectura a su carpeta de calendario para programar reuniones de manera más eficiente.

Los permisos de carpeta de buzón se pueden asignar como permisos individuales o como roles, que son esencialmente colecciones de permisos de carpeta. Los actores de amenazas buscarán roles que tengan permiso de lectura, como autor, editor, propietario, autor de la publicación o revisor. Intentarán aplicarlos a los usuarios que controlan.

Un actor de amenazas aprovechó el concepto de usuario predeterminado. Si el nivel de permiso predeterminado se establece en cualquier otro valor que no sea "ninguno, todos los usuarios de esa organización pueden acceder potencialmente a esa carpeta o buzón. Lo mismo ocurre con otro usuario especial, anónimo, que está diseñado para usuarios externos no autenticados.

Madeley vio a un actor de amenazas asignar el rol de revisor de usuario predeterminado, que tiene permiso de lectura. Una vez realizada esta modificación, cualquier usuario autenticado puede acceder a esa carpeta del buzón. Esta técnica, aunque no es nueva, todavía es aprovechada por al menos un grupo de APT porque es difícil de detectar. Puede ser eficaz en el contexto de la degradación de la licencia.

"Si no tiene esa auditoría de buzón que viene con su licencia de Microsoft 365 E5, no verá el acceso al buzón correspondiente de estos usuarios aleatorios en la red, afirma Madeley. "Para detectar eso, debe enumerar los permisos de la carpeta del buzón en cada buzón en el ambiente, lo que suena muy bien si tiene 50 personas en una empresa, pero si tiene 210 mil usuarios, eso puede llevar semanas de ejecución de scripts.

Algunos otros métodos pueden detectar esto. Por ejemplo, los administradores pueden buscar inicios de sesión de EWS que se utilizan para acceder a las carpetas modificadas. "En Azure Active Directory, estos se codificarán como inicios de sesión no interactivos, afirma Madeley. Alternativamente, si la auditoría de MailItemsAccessed está habilitada, los administradores pueden buscar patrones en el acceso de no propietarios a sus buzones de correo de alto valor.

Secuestro de aplicaciones empresariales y registros de aplicaciones

Otra técnica adoptada recientemente por los grupos APT es el abuso de las aplicaciones. Tanto los registros de las aplicaciones (instancia inicial de una aplicación -aplicaciones locales de la organización) como las aplicaciones empresariales (una "copia del registro de la aplicación que reside en el inquilino consumidor -aplicaciones globales que se pueden usar dentro de una organización) se denominan aplicaciones.

"Microsoft le da esta idea de registrar una aplicación que luego puede realizar llamadas API a la API Graph, afirma Madeley. "Pueden ser cosas simples como crear un nuevo usuario o leer un mensaje. Supongamos que desea crear una aplicación de correo de terceros con la que pueda leer y escribir mensajes. Todas las llamadas a la API están ahí para que usted interactúe con un buzón de correo.

Cuando los actores de las amenazas intentan secuestrar aplicaciones empresariales, primero buscarían una aplicación existente que estuviera configurada legítimamente. "Luego, agregarían credenciales; agregarían sus propias claves API a estas aplicaciones que luego podrían usar para autenticarse en Microsoft 365, afirma Madeley.

A continuación, se asegurarán de que esa aplicación tenga los permisos para acceder a los recursos que deseaban, como leer el correo. "Si no encontraban una aplicación que cumpliera con ese requisito, entonces continuarían y agregarían los permisos, afirma Madeley.

Una vez que lo hicieron, entraron. "Los veíamos autenticarse todos los días, de lunes a viernes, leer las últimas 24 horas del buzón de un usuario en particular, afirma el investigador. "Luego iniciaron sesión en el siguiente usuario, leían las últimas 24 horas del buzón y luego las enviaban a sus propios servidores, donde luego podían revisar el contenido y ver qué es lo que les interesa.

Los grupos de APT que siguieron los investigadores de Mandiant solo se dirigieron a un puñado de usuarios relevantes, no a todos. En la mayoría de los casos, hubo entre seis y 10 personas muy valiosas que fueron monitoreadas. La mayor cantidad de buzones de correo dirigidos que vieron los investigadores en una organización fue 93.

Madeley afirma, poniendo las cosas en contexto, que esta técnica puede tener un impacto amplio. "Si desarrollo una aplicación empresarial que comparto con usted, o creo un plano de esa aplicación que otras empresas pueden usar y podrían comprar, y esa aplicación se ve comprometida, también significa que el actor de las amenazas puede acceder a su tenant, agrega. "Por lo tanto, no se trata solo de proteger sus propios datos. También debe preocuparse por la fuente de las aplicaciones empresariales que está obteniendo, asegurándose de que la seguridad de sus proveedores esté a la par.

Golden SAML

Los actores avanzados de los estado-nación que llevan a cabo campañas de ciberespionaje no solo están interesados en entrar en un ambiente. También quieren hacerlo de forma sigilosa y mantener el acceso durante el mayor tiempo posible.

Aquí es donde la técnica denominada Golden SAML entra en juego. Fue utilizada por varios grupos de APT, entre ellos UNC2452/DarkHalo, que era responsable del ataque a la cadena de abastecimiento que generó un troyano en el software Orion de SolarWinds, actualizándolo para distribuir el malware SUNBURST. El ataque, del cual FireEye fue una de las muchas víctimas, fue revelado en diciembre del 2020.

SAML significa Security Assertion Markup Language, y es un estándar abierto utilizado para intercambiar autenticación y autorización entre distintas partes. Fue diseñado para simplificar el proceso de autenticación, permitiendo el inicio de sesión único (SSO, por sus siglas en inglés) y el acceso a múltiples aplicaciones web con un solo conjunto de credenciales de inicio de sesión.

"Golden SAML es básicamente una forma para que el actor de las amenazas pueda iniciar sesión en Microsoft 365 como cualquier usuario que desee, afirma Bienstock. "Pueden eludir cualquier requisito de seguridad adicional que pueda tener la organización.

Para explicar cuán poderosa es esta técnica, usó una analogía. "Si quieres hacer un pasaporte, necesitas algo muy específico que esté guardado por el gobierno en alguna oficina, afirma. "Pero una vez que consigue su máquina de pasaportes, no hay nada que le impida hacer un pasaporte para cualquier persona que desee. El Golden SAML es muy similar a eso. Los actores de amenazas persiguen un sistema en particular en la red; están robando una clave privada. Luego, una vez que tengan esa clave privada, pueden crear tokens de autenticación para cualquier usuario que deseen.

En la técnica Golden SAML, los atacantes roban la clave de firma de tokens de Active Directory Federation Services (AD FS). (AD FS es una función para servidores Windows que permite la administración de identidades y accesos federados). La técnica es útil para un atacante cuando buscan usuarios específicos y desean acceder a cosas que solo esos usuarios pueden tener, como archivos específicos en su OneDrive o SharePoint.

Tradicionalmente, para hacer la técnica Golden SAML, los hackers deben comprometer el servidor AD FS en el ambiente donde se encuentra esta clave privada, lo que podría ser difícil porque ese servidor debería estar bien protegido, pero Bienstock y Madeley afirman que hay una manera de robarlo de forma remota. Los atacantes aún deben estar en la red privada de la empresa, pero con el nivel adecuado de privilegios, no necesariamente deben comprometer ese servidor específico. En cambio, pueden llevar a cabo su ataque desde cualquier lugar.

Para mantener la analogía, es "como usar magia para teletransportar la máquina de pasaportes fuera de la oficina, afirma Bienstock. "Ahora puede hacerlo sin tener que entrar en la oficina de pasaportes o ejecutar código en el servidor de AD FS, agrega. "Esta técnica es potencialmente valiosa porque reduce un poco la barrera del éxito y es mucho más sigilosa de llevar a cabo. Este tipo de ataque, que permite a un atacante robar la clave de forma remota, aún no se ha visto en uso, pero los dos investigadores afirman que es una "extensión natural de la técnica actual, y las organizaciones deben prepararse para defenderse.

Replicación de los servicios de federación de Active Directory

Las grandes organizaciones que están geográficamente dispersas pueden tener más de un servidor AD FS. Pueden tener dos, tres o cuatro en una configuración de granja. De forma predeterminada, todos los nodos de la granja utilizan las mismas configuraciones y el mismo certificado de firma de tokens. "Cada servidor tendrá una clave privada, la máquina de pasaportes, pero necesitan una forma de mantenerla sincronizada, afirma Bienstock. "Para hacer eso, hay un servicio de replicación. Ese servicio opera a través de la red. Diferentes servidores pueden comunicarse entre sí.

Los atacantes podrían hacerse pasar por el servidor de AD FS que está realizando la replicación, que es el servidor principal de AD FS. "De alguna manera, esta técnica es muy similar a un ataque DCSync, afirma Bienstock. "En un ataque DCSync, pretendes ser un controlador de dominio para obtener información de autenticación en el dominio. En esta técnica, pretendemos ser otro servidor AD FS para obtener información confidencial de los servidores legítimos de la red.

Madeley afirma que él y su colega se han centrado en AD FS porque es uno de los proveedores de SAML más comunes que utilizan las organizaciones a las que se dirigen los actores de amenazas APT. Sin embargo, también han visto como objetivo a otros proveedores de SAML. "Es importante tener en cuenta que el principio del ataque Golden SAML no se limita a AD FS, afirma Madeley. "Si compromete los certificados de firma de cualquiera de los proveedores de SAML, tendrá el mismo problema.

Filtración de Big Data

En el pasado, los grupos de ATP que se dirigían a Microsoft 365/Office 365 buscaban principalmente palabras clave específicas y luego descargaban archivos y correos electrónicos que coincidían con su solicitud. Ahora, los investigadores notaron que tienden a filtrar cientos de gigabytes de datos.

"Los actores de las amenazas, en su mayor parte, simplemente están descargando todo en el buzón de correo de esa persona, afirma Bienstock. "La especulación que tengo personalmente es: esto, tal vez, habla de un enfoque de big data. En lugar de realizar las búsquedas donde residen los datos, ¿por qué no simplemente descargar la mayor cantidad de datos posible y luego realizarán las búsquedas más tarde? porque tal vez cambien los requisitos de recopilación, necesitan nuevas palabras clave.

Este enfoque les permitiría aprovechar al máximo una recopilación de datos. No necesitarán comprometer nuevamente a una organización si tienen que obtener nueva información relacionada con otra palabra clave u otro proyecto secreto.

Un grupo de APT que siguieron los investigadores pudo descargar una cantidad impresionante de datos. "En el transcurso de un mes, se robaron más de 350 gigabytes y el actor de la amenaza tuvo acceso durante al menos 12 meses, afirma Madeley. "De alguna manera implica que existe algún nivel de análisis de big data en el back end. No hay ni un solo humano desplazándose por los correos electrónicos.

Este enfoque de big data no sería sorprendente, afirman los dos investigadores. Han notado que los actores de las amenazas avanzadas confían cada vez más en la automatización, creando herramientas que realizan muchas tareas por ellos. "El hecho de que hayan realizado el esfuerzo de crear estas herramientas de recopilación automatizadas sugiere que existe automatización durante todo el ciclo de vida.

Mitigar las amenazas a Microsoft 365

Bienstock y Madeley esperan que los grupos APT continúen actualizando sus habilidades en los próximos años. También afirman que algunas de estas técnicas populares probablemente comenzarían a ser utilizadas por pandillas motivadas financieramente.

Madeley recomienda que los administradores aprendan y comprendan los matices de las integraciones en la nube de terceros. Deben saber qué auditoría está disponible para ellos y qué tipos de capacidades de detección tienen según el modelo de licencia de Microsoft 365, señala. El investigador recomienda que establezcan buenos procesos de control de cambios en la nube, por lo que cuando un actor de amenazas realiza un cambio en la infraestructura de la organización, un administrador puede detectarlo.

"Realmente comienza con la comprensión de su ambiente, la comprensión de las aplicaciones que ha registrado, el conocimiento de cómo se ven los permisos del buzón de correo de forma normal y cómo se ven sus proveedores de autenticación, además de cómo se utilizan en su ambiente, afirma Madeley, "y luego monitorear los cambios.

Ambos investigadores afirman que la educación constante es imprescindible, ya que las cosas se mueven mucho más rápido en la nube. Microsoft está haciendo un esfuerzo para hacer que su infraestructura en la nube sea resistente, segura y más auditable, afirma Madeley, pero las organizaciones también deben hacer su parte cuando se trata de seguridad. "Es importante que las empresas comprendan dónde están sus puntos ciegos, agrega el investigador.

Puede ver también: