23 sep. 2020

MFA Bypass en Microsoft 365

Los investigadores de Proofpoint han detectado que un bug en MFA de Microsoft 365 permitía (ya fue solucionado) a los delincuentes informáticos acceder a las cuentas de Office 365. Hoy en día, MFA (autenticación multifactor) se está convirtiendo en un gran objetivo para los delincuentes, ya que se está convirtiendo rápidamente en una capa de seguridad imprescindible para las aplicaciones en la nube.

Los investigadores vulnerabilidades críticas en la implementación de la autenticación multifactor (MFA) en entornos de nube donde WS-Trust está habilitado. Estas vulnerabilidades podrían permitir a los atacantes eludir la MFA y acceder a las aplicaciones en la nube que utilizan este protocolo, en particular Microsoft 365. Debido a la forma en que está diseñado el inicio de sesión de Microsoft 365, un atacante podría obtener acceso completo a la cuenta del objetivo (incluido el correo, archivos, contactos, datos y más). Además, estas vulnerabilidades también podrían usarse para obtener acceso a varios otros servicios en la nube proporcionados por Microsoft, incluidos los entornos de producción y desarrollo como Azure y Visual Studio. 


 

Las vulnerabilidades fueron el resultado del "protocolo intrínsecamente inseguro" (WS-Trust) descrito por Microsoft combinado con varios errores en su implementación por parte de los IDP. En algunos casos, un atacante podría falsificar su dirección IP para omitir MFA mediante una simple manipulación del encabezado de solicitud. En otro caso, alterar el encabezado del agente de usuario hizo que el IDP identificara erróneamente el protocolo y creyera que estaba utilizando la autenticación moderna. En todos los casos, Microsoft registra la conexión como "Autenticación moderna" debido a que el exploit pasó del protocolo heredado al moderno.

Las vulnerabilidades requieren investigación, pero una vez descubiertas, pueden explotarse de forma automatizada. Son difíciles de detectar y es posible que ni siquiera aparezcan en los registros de eventos, sin dejar rastros ni indicios de su actividad. Dado que la MFA como medida preventiva se puede eludir, es necesario aplicar medidas de seguridad adicionales en forma de detección y corrección de compromisos de cuenta.

Los atacantes están pasando por alto el MFA utilizando algunos métodos comunes, ya que son muy fáciles de aplicar:

  • Phishing en tiempo real: los delincuentes utilizan el phishing en tiempo real, ya que implica robar el factor adicional del usuario. Hay algunos casos en los que los actores de la amenaza pueden generar un "proxy" entre el sitio web objetivo y la víctima. Ya que se vuelve bastante fácil para los actores de amenazas eludir el MFA ya que el proxy se parece al sitio web original.
  • Secuestro de canales: el secuestro de canales ataca el teléfono o la computadora de la víctima, habitualmente con software malicioso. Es por eso que el malware para PC puede usar el navegador y un ataques Man-in-the-Browser o inyecciones web para obtener conocimiento, y algunos malware secuestran el MFA del teléfono.
  • Protocolos heredados: el delincuentes informático usa el protocolo heredado porque es un proceso relativamente más económico y escalable para eludir MFA aprovecha los protocolos heredados para ataques a cuentas en la nube. Muchas empresas continúan permitiendo que los protocolos heredados sean capaces de admitir dispositivos o aplicaciones heredados, como fotocopiadoras o cuentas compartidas, como salas de conferencias.
Fuente: ProofPoint

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!