Según los investigadores, los hackers están explotando las cuentas inactivas de Microsoft con el fin de eludir la autenticación multifactor (MFA) y así obtener acceso a los servicios y redes en la nube.

La técnica que utilizaron los ciberdelincuentes ha sido detallada por investigadores de seguridad cibernética en Mandiant. Estos dicen que el exploit está siendo utilizado en campañas de piratería por parte de APT29, también conocido como Cozy Bear. Se trata de una operación de piratería y espionaje que está vinculada al “Servicio de Inteligencia Extranjera” (SVR) de Rusia. Estos creen que dichos grupos están usando las mismas tácticas.

Así los hackers pudieron eludir la autenticación multifactor de Microsoft

La autenticación multifactor es una herramienta muy útil, bien sea para personas u organizaciones que buscan evitar la apropiación de cuentas y los ataques cibernéticos contra los servicios en la nube. Pero, aunque es eficaz para defender de las intrusiones, no es infalible y los atacantes pueden hallar formas de evadirla.

De acuerdo con Mandiant, los hackers están explotando el proceso de autoinscripción para aplicar la autenticación multifactor a Microsoft Azure Active Directory y otras plataformas. Todo ello con el fin de tomar control de Microsoft 365 y otras cuentas.

Los investigadores dicen que, si no hay una verificación adicional en torno al proceso de inscripción de MFA, cualquier persona (hacker) que conozca el nombre de usuario y la contraseña de una cuenta puede aplicar la autenticación de multifactor y eludir la seguridad de ese proceso.  

La descripción detallada de Mandiant de los hechos

código para hackear
Vía Unsplash

En un caso detallado por Mandiant, los atacantes atribuidos a APT29 consiguieron acceso a una lista de buzones de correo no revelados. Estos los obtuvieron por medio de desconocidos y lograron adivinar la contraseña de una cuenta que se había configurado y nunca se usó.

Lo peor de todo es que el atacante al que Azure Active Directory le pidió configurar la autenticación multifactor no solo tenía el control de la cuenta. El ciberdelincuente también pudo vincular MFA a un dispositivo de su propiedad, hecho que le permitió explotar el MFA para proporcionar acceso a la cuenta en lugar de mantenerlos fuera.

A partir de aquí, los atacantes lograron usar la cuenta para acceder a la infraestructura VPN de la organización víctima. Los investigadores no quisieron revelar a la víctima o cuál era el objetivo de este ataque, pero se sabe que APT29 apunta a los intereses de EE. UU, los de la OTAN y los países socios.

Este incidente solo nos muestra una cosa: a pesar de tener la autenticación de múltiples factores, es posible que los ciberdelincuentes logren eludir las funciones de protección para acceder y explotar cuentas inactivas.

¿Cómo asegurarse en la nube?

Para contrarrestar esto, se les recomienda a las organizaciones implementar protecciones adicionales.

Douglas Bienstock, gerente de respuesta a incidentes en Mandiant, recomienda: «Las organizaciones pueden restringir el registro de dispositivos MFA solo a ubicaciones confiables. Tal y como ocurre con la red interna o dispositivos confiables. Las organizaciones también pueden optar por requerir MFA para inscribir MFA».

También Douglas añade esto: «Para evitar la situación del huevo y la gallina que esto crea, los empleados de la mesa de ayuda pueden emitir pases de acceso temporal a los empleados. Bien sea cuando se unen por primera vez o si pierden su dispositivo MFA. El pase se puede usar por un tiempo limitado para iniciar sesión, omitir MFA, y registrar un nuevo dispositivo MFA».

Microsoft lanzó recientemente una función que permite a las organizaciones aplicar controles en torno a la inscripción de dispositivos MFA. Hacer esto puede ayudar a evitar que los hackers consigan acceder a las cuentas. Recuerda estar alerta a cualquier recomendación nueva de seguridad.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *