‍Elpirateo del correo electrónico corporativo de Microsoftimpulsa el cambio

Un reciente pirateo de cuentas de correo electrónico corporativo de Microsoft® ha persuadido a Microsoft de realizar un cambio fundamental en su enfoque de la ciberseguridad corporativa.

El pirateo

El 12 de enero de 2024, el equipo de ciberseguridad de Microsoft detectó un ataque a sus sistemas corporativos y activó inmediatamente su proceso de respuesta para mitigar y cerrar el ataque. La investigación de Microsoft reveló que el ataque comenzó en noviembre de 2023 mediante un ataque de pulverización de contraseñas (un ataque de fuerza bruta que utiliza una lista de contraseñas débiles comunes para acceder a cientos de cuentas) para comprometer una cuenta de inquilino de prueba no de producción heredada.

A partir de ahí, el autor de la amenaza utilizó los permisos de la cuenta heredada para acceder a las cuentas de correo electrónico y a los documentos adjuntos de los altos directivos de Microsoft y de los empleados que trabajan principalmente en funciones relacionadas con la ciberseguridad y el ámbito legal.

Microsoft identificó al actor de la amenaza como Midnight Blizzard (también conocido como Nobelium), una organización patrocinada por el gobierno ruso. Nobelium fue responsable de la filtración de diciembre de 2020 de al menos nueve agencias estadounidenses utilizando el software SolarWinds®, contratista federal, para acceder a los sistemas de correo electrónico no clasificado de las agencias y rastrear cómo respondía el gobierno estadounidense a las filtraciones de Nobelium.

De forma similar al ataque a SolarWinds, la investigación de Microsoft sobre el ataque a los sistemas corporativos de Microsoft reveló que el actor de la amenaza buscaba información relacionada con la propia Midnight Blizzard.

Microsoft compartió los detalles iniciales sobre el ataque en un post del^{19 de enero} del Centro de Respuesta de Seguridad de Microsoft, y luego compartió una guía de respuesta en un post del^{25 de} enero de Microsoft Threat Intelligence. La publicación de la guía de respuesta reveló que Midnight Blizzard ha estado atacando a otras compañías tecnológicas globales además de Microsoft. Esta observación fue confirmada por una presentación de Hewlett Packard Enterprise (HPE) ante la SEC que reveló que Midnight Blizzard había violado el entorno de correo electrónico alojado en la nube de HPE en mayo de 2023.

¿Cómo se produjo el pirateo?

Como se ha señalado anteriormente, el pirateo del correo electrónico de Microsoft utilizó un ataque de pulverización de contraseñas para comprometer una cuenta de arrendatario de prueba heredada que no estaba en producción. Esta cuenta rompía dos reglas fundamentales de ciberseguridad. En primer lugar, la cuenta tenía una contraseña fácil de adivinar. En segundo lugar, la cuenta no tenía activada la autenticación multifactor (MFA).

Microsoft admitió en su publicación^{del 25 de} enero que si esa cuenta heredada se hubiera desplegado hoy, la política y los flujos de trabajo estándar de Microsoft habrían garantizado la implantación de la AMF.

Una vez que Midnight Blizzard obtuvo acceso a través de la cuenta de prueba de correo electrónico comprometida, identificaron y comprometieron una aplicación OAuth de prueba con acceso elevado al entorno corporativo de Microsoft. (NOTA: OAuth es un protocolo de autorización de estándar abierto que permite a una aplicación o sitio web acceder a datos de otra aplicación o sitio web, por ejemplo, enviar archivos almacenados en la nube a otro usuario por correo electrónico, o permitir que un sitio web como ESPN.com acceda a tu perfil de Facebook sin proporcionar tu contraseña de Facebook).

A continuación, Midnight Blizzard creó aplicaciones OAuth maliciosas adicionales y una nueva cuenta de usuario que permitió a las aplicaciones OAuth maliciosas acceder al entorno corporativo de Microsoft. Por último, Midnight Blizzard utilizó la aplicación OAuth de prueba heredada comprometida para concederles un rol de Office 365 Exchange Online que permite el acceso a los buzones de correo de los empleados.

Midnight Blizzard se aprovechó de la existencia de una cuenta de correo electrónico de prueba heredada y una aplicación OAuth de prueba heredada que nunca se actualizaron para cumplir las normas de ciberseguridad modernas.

¿Qué está cambiando Microsoft en su postura de seguridad?

En noviembre de 2023, Microsoft anunció su Iniciativa Futuro Seguro (SFI), que reúne a todas las partes de Microsoft para impulsar mejoras sustanciales en la protección de la ciberseguridad. La iniciativa buscaba un equilibrio entre la seguridad y el riesgo empresarial. Desde el punto de vista del riesgo empresarial, realizar una auditoría para identificar y proteger todas las cuentas o aplicaciones heredadas creadas (y luego olvidadas) en los casi 50 años de historia de Microsoft, y cambiar los innumerables procesos empresariales relacionados con el establecimiento y la protección de nuevas cuentas y aplicaciones es una tarea que requiere mucho tiempo y personal.

Desafortunadamente, Midnight Blizzard es muy bueno explotando cuentas heredadas y aplicaciones OAuth para penetrar en sistemas corporativos y obtener acceso a información corporativa y de clientes. Reconociendo esta pericia, Microsoft ha reconocido la necesidad de asegurar sus cuentas y aplicaciones heredadas más pronto que tarde, como se indica en el post del^{19 de enero} del Microsoft Security Response Center:

"...Actuaremos de inmediato para aplicar nuestras normas de seguridad actuales a los sistemas heredados propiedad de Microsoft y a los procesos empresariales internos, incluso cuando estos cambios puedan causar interrupciones en los procesos empresariales existentes. Es probable que esto cause algún nivel de interrupción mientras nos adaptamos a esta nueva realidad, pero es un paso necesario, y sólo el primero de varios que daremos para adoptar esta filosofía." 

¿Qué puede hacer para proteger a sus clientes y aplicaciones?

Al igual que Microsoft, un primer paso necesario es realizar una auditoría de las cuentas y aplicaciones OAuth heredadas, con las consiguientes medidas para eliminar las que ya no se utilicen y asegurar las que aún se usen utilizando normas de ciberseguridad modernas. Microsoft ha compartido otras recomendaciones en su publicación^{del 25 de enero} mencionada anteriormente.

Los ISV, MSP y revendedores que necesitan proporcionar a sus clientes un acceso seguro basado en web a las aplicaciones de Windows pueden evaluar la tecnología utilizada para hacer que esas aplicaciones sean accesibles a los usuarios, entre otras cosas:

• Protocolo de comunicación de red utilizado: ¿es seguro? (NOTA: si utiliza el Protocolo de Escritorio Remoto (RDP) de Microsoft, según Sophos, una empresa global de seguridad informática, RDP sigue siendo "una de las herramientas de las que más se abusa" para aprovechar credenciales comprometidas para el acceso interno; consulte nuestra entrada de blog para obtener más detalles).
• Configuración predeterminada: ¿puede un administrador o un actor malintencionado habilitar el uso compartido de recursos del servidor o del cliente? 
• Autenticación multifactor: ¿su solución de acceso remoto permite la autenticación multifactor? El pirateo de Microsoft descrito anteriormente fue posible en parte por la falta de MFA en una aplicación de correo electrónico de prueba heredada.
• Inicio de sesión único: ¿su solución de acceso remoto admite soluciones de inicio de sesión único? El pirateo de Microsoft descrito anteriormente fue posible en parte gracias a una contraseña fácil de adivinar.

Si su solución de acceso basada en Web hace que su aplicación y los datos de sus clientes sean vulnerables a los malos agentes, piense en GO-Global.

• Protocolo RapidX (RXP)-RXP es un protocolo propietario de bajo ancho de banda para la conectividad a través de líneas serie. Es adaptable, utiliza varias capas de compresión y está optimizado para garantizar el menor uso posible del ancho de banda. Y, como RXP es de código cerrado, ofrece una defensa adicional contra los atacantes, en comparación con protocolos de código abierto como Microsoft RDP, donde se han encontrado y explotado debilidades de seguridad.
• Configuración predeterminada: por diseño, todas las opciones de configuración que permiten compartir recursos del servidor o del cliente están desactivadas. Además, GO-Global no publica aplicaciones predeterminadas.
• Autenticación de dos factores (2FA): GO-Global ofrece 2FA, una función de autenticación avanzada que proporciona una capa adicional de seguridad al solicitar opcionalmente a los usuarios que introduzcan un código de 6 dígitos desde una aplicación de autenticación en un teléfono inteligente, además de su nombre de usuario y contraseña.
• Soporte de inicio de sesión único para OpenID® Connect (OIDC): permite a las organizaciones utilizar proveedores de identidad OIDC como Okta® y Microsoft® Active Directory Federated Services (ADFS) para el inicio de sesión único en hosts Windows GO-Global.

El enfoque multicapa de GO-Global para proteger las aplicaciones de Windows y los datos de los clientes reduce el riesgo de los malos actores. Obtenga más información aquí.

Para ver los precios de GO-Global para usuarios simultáneos con SSO y calcular su precio estimado de GO-Global, haga clic aquí.

Para solicitar una demostración, haga clic aquí; para una prueba gratuita de 30 días de GO-Global, haga clic aquí.