Ciberespías rusos anulan la política 2FA de Microsoft

[04/08/2023] Un grupo de ciberespionaje estatal ruso conocido como APT29 ha estado lanzando ataques de phishing contra organizaciones que utilizan mensajes de seguridad falsos a través de Microsoft Teams, en un intento de derrotar el método de notificación push de autenticación de dos factores (2FA) de Microsoft que se basa en la coincidencia de números. "Nuestra investigación actual indica que esta campaña ha afectado a menos de 40 organizaciones globales únicas", señaló Microsoft en un informe. "Las organizaciones a las que se dirige esta actividad probablemente indican objetivos específicos de espionaje por parte de Midnight Blizzard dirigidos al gobierno, organizaciones no gubernamentales (ONG), servicios de TI, tecnología, fabricación discreta y sectores de medios de comunicación".

Midnight Blizzard es el nuevo nombre designado por Microsoft para APT29, un grupo de amenazas que ha estado operando durante muchos años, y es considerado por los gobiernos de EE.UU. y el Reino Unido como el brazo de hacking del servicio de inteligencia exterior de Rusia, el SVR. APT29, también conocido en la industria de la seguridad como Cozy Bear o NOBELIUM, estuvo detrás del ataque a la cadena de suministro de software SolarWinds del 2020 que afectó a miles de organizaciones en todo el mundo, pero también fue responsable de ataques contra muchas instituciones gubernamentales, misiones diplomáticas y empresas de la base industrial militar de todo el mundo a lo largo de los años.

La última campaña utilizó inquilinos de Microsoft 365 secuestrados

APT29 obtiene acceso a sistemas y redes utilizando una gran variedad de métodos, incluyendo a través de exploits de día cero, abusando de las relaciones de confianza entre diferentes entidades dentro de entornos en la nube, desplegando correos electrónicos de phishing y páginas web para servicios populares, a través de ataques de pulverización de contraseñas y de fuerza bruta, y a través de archivos adjuntos de correo electrónico maliciosos y descargas web.

Los últimos ataques de spear-phishing detectados por Microsoft comenzaron en mayo y probablemente formaban parte de una campaña más amplia de compromiso de credenciales que primero dio lugar al secuestro de inquilinos de Microsoft 365 que pertenecían a pequeñas empresas. Los inquilinos de Microsoft 365 obtienen un subdominio en el dominio onmicrosoft.com, de confianza general, por lo que los atacantes cambiaron el nombre de los inquilinos secuestrados para crear subdominios con nombres relacionados con la seguridad y los productos para dar credibilidad al siguiente paso de su ataque de ingeniería social.

El segundo paso consistió en dirigirse a cuentas de otras organizaciones para las que ya habían obtenido credenciales, o que tenían activada una política de autenticación sin contraseña. Ambos tipos de cuentas tienen activada la autenticación multifactor a través de lo que Microsoft denomina notificaciones push de coincidencia de número.

Emparejamiento de números frente a códigos generados por dispositivos

El método de notificación push 2FA implica que los usuarios reciben una notificación en su dispositivo móvil a través de una aplicación para autorizar un intento de inicio de sesión. Se trata de una implementación habitual en muchos sitios web, pero los atacantes empezaron a explotarla con lo que se conoce como fatiga 2FA o MFA, una táctica de ataque que consiste en bombardear a un usuario cuyas credenciales han sido robadas con continuas solicitudes de autorización push hasta que cree que el sistema funciona mal y las acepta, o peor aún, bombardear a los usuarios con llamadas telefónicas 2FA en mitad de la noche para aquellos que tienen activada esta opción.

Otra forma habitual de aplicar la 2FA es que el sitio web solicite un código generado por una aplicación de autenticación en el teléfono del usuario. Sin embargo, los ciberdelincuentes también han encontrado formas de eludir este método mediante páginas de suplantación de identidad que actúan como proxies inversos entre el usuario y el sitio web o servicio de destino.

En respuesta a este tipo de ataques, Microsoft implementó otro método 2FA que consiste en que los sitios web de Microsoft envíen una notificación push a la aplicación Microsoft Authenticator en el dispositivo móvil del usuario para pedirle que introduzca un número en la aplicación. El sitio web muestra este número durante el proceso de autenticación. Este método se denomina coincidencia de números, y se convirtió en el método predeterminado para todas las notificaciones push de Microsoft Authenticator a partir del 8 de mayo.

Ahora, si un atacante intenta autenticarse con las credenciales robadas de un usuario, se le pedirá en su aplicación Microsoft Authenticator que introduzca un número para completar el proceso 2FA, pero el usuario no conoce el número que muestra el sitio web porque no es él quien ha iniciado la autenticación en su navegador. Así que APT29 se propuso superar este nuevo reto.

La forma en que lo consiguieron fue contactando con los usuarios objetivo a través de Microsoft Teams desde cuentas creadas bajo los subdominios onmicrosoft.com que configuraron en los inquilinos de Microsoft 365 secuestrados. Por ejemplo, las víctimas veían solicitudes de chat de Teams del tipo "Microsoft Identity Protection (External) wants to chat with you" procedentes de MicrosoftIdentityProtection@teamsprotection.onmicrosoft.com.

Si se aceptaba la solicitud de contacto, aparecía un mensaje en el que se informaba a la víctima de que se habían detectado cambios en la configuración de la autenticación multifactor de sus cuentas y que debía abrir su aplicación Microsoft Authenticator y escribir un número determinado para ayudar a verificar su identidad. Por supuesto, el número era el que los atacantes recibieron del sitio web de Microsoft y era necesario para saltarse la autenticación de dos factores y acceder a la cuenta.

"El actor procede entonces a llevar a cabo la actividad posterior al compromiso, que normalmente implica el robo de información del inquilino de Microsoft 365 comprometido", dijeron los investigadores de Microsoft. "En algunos casos, el actor intenta agregar un dispositivo a la organización como un dispositivo administrado a través de Microsoft Entra ID (anteriormente Azure Active Directory), probablemente un intento de eludir las políticas de acceso condicional configuradas para restringir el acceso a recursos específicos solo a dispositivos administrados".

Cómo mitigar la explotación de la autenticación de coincidencia numérica de Microsoft

Las recomendaciones de Microsoft para que las organizaciones mitiguen estos ataques incluyen:

• Desplegar métodos de autenticación resistentes al phishing para los usuarios.
• Implementar la fuerza de autenticación Conditional Access para requerir autenticación resistente a phishing para empleados y usuarios externos para apps críticas.
• Configurar organizaciones de Microsoft 365 de confianza para limitar qué dominios externos tienen permitido o están bloqueados para chatear y reunirse en Teams con sus empleados.
• Habilite la auditoría de Microsoft 365 para poder realizar investigaciones forenses en caso de compromiso.
• Elija la mejor configuración de acceso para la colaboración externa para su organización.
• Permita sólo dispositivos conocidos en sus entornos híbridos Azure AD.
• Eduque a los usuarios sobre la ingeniería social y los ataques de phishing de credenciales, incluida la abstención de introducir códigos MFA enviados a través de mensajes no solicitados.
• Eduque a los usuarios de Microsoft Teams para que verifiquen el etiquetado "Externo" en los intentos de comunicación de entidades externas.
• Eduque a los usuarios para que revisen la actividad de inicio de sesión y marquen los intentos de inicio de sesión sospechosos como "No fui yo".
• Implemente Conditional Access App Control en Microsoft Defender para Cloud Apps para los usuarios que se conectan desde dispositivos no gestionados.

Basado en el artículo de Lucian Constantin (CSO) y editado por CIO Perú