Los respondedores de incidentes investigan los ataques de Microsoft 365 …
Los expertos de Mandiant analizan las técnicas novedosas que se utilizan para evitar la detección, automatizar el robo de datos y lograr un acceso persistente.
BLACK HAT 2021: Microsoft 365 es un objetivo candente para los ciberdelincuentes que buscan constantemente nuevas formas de eludir sus medidas de seguridad para acceder a los datos de la empresa. Y mientras los defensores intensifican su juego, los atacantes hacen lo mismo.
«El año pasado ha demostrado que los actores de amenazas respaldados por el gobierno están invirtiendo cada vez más tiempo y dinero en el desarrollo de nuevas formas de acceder a los datos en Microsoft 365», dijo Josh Madeley, gerente de servicios profesionales de Mandiant, en una sesión informativa titulada «Cloud with a Chance de APT: Nuevos Microsoft 365 Attacks in the Wild «durante el Black Hat USA de este año.
Estos atacantes están particularmente interesados en Microsoft 365 porque cada vez más organizaciones almacenan sus datos allí y trabajan juntos, continuó Madeley. Las aplicaciones como el correo electrónico, SharePoint, OneDrive y Power BI pueden contener una gran cantidad de información que es invaluable para los atacantes.
«Si eres un actor de amenazas motivado por espías, Microsoft 365 es el santo grial», dijo.
En la charla, Madeley y el coanfitrión Doug Bienstock, Gerente de Respuesta a Incidentes en Mandiant, compartieron las lecciones aprendidas de las campañas de espionaje a gran escala que han observado durante el año pasado. Las técnicas que vieron ayudaron a los atacantes a deshabilitar funciones de seguridad como la auditoría y el registro, automatizar el robo de datos con tácticas antiguas y abusar de las aplicaciones empresariales con otras nuevas. También conservaron su acceso mediante el abuso de SAML y los servicios de federación de Active Directory.
Madeley abrió la conversación con métodos para evitar la detección. Los atacantes no están interesados en cambiar los datos, dijo. Quieren robar, revisar y comprender los datos. Hay formas clandestinas de hacer esto, pero los atacantes quieren mejorar sus tácticas y dificultar la captura de los defensores, «especialmente si han estado robando datos a lo largo de los años», dijo.
Una forma de hacerlo es deshabilitar las funciones de seguridad. Todos los administradores de dominio tienen acceso a los registros de auditoría en Microsoft 365, aunque las organizaciones que pagan por una suscripción E5 tienen acceso a la supervisión avanzada. Esto viene con MailItemsAccessed, una función que registra todas las interacciones con los objetos de correo electrónico dentro de las 24 horas y luego se limita.
Es una característica problemática para los atacantes que intentan robar buzones de correo corporativos, señaló Madeley. Tuvieron que encontrar una manera de solucionarlo.
«Afortunadamente, Microsoft se lo proporcionó en el cmdlet Set-MailboxAuditBypassAssociation», continuó. Esto evita el registro de acciones del buzón para usuarios específicos. Si está configurado, no se registran todas las acciones del propietario del buzón realizadas por usuarios especificados con la configuración de omisión. Las acciones delegadas realizadas por ciertos usuarios en otros buzones de correo de destino no se registran, y tampoco se registran ciertas acciones del administrador, explicó Madeley.
«Está en una buena posición para monitorear la ejecución de este cmdlet en su inquilino», dijo de Set-MailboxAuditBypassAssociation. Al monitorear el robo de datos, una organización puede perder actividad maliciosa si la bandeja de entrada de un atacante no está registrada.
Una forma más eficiente de eludir el registro es degradar las licencias de usuarios críticos de E5 a E3, dijo Madeley. Esto desactiva el registro de MailItemsAccessed sin afectar las funciones que la mayoría de los usuarios usan a diario.
«Estas son técnicas realmente simples una vez que le da a un inquilino acceso administrativo para realizar estos cambios y permitir el robo de datos a largo plazo», agregó.
Abuso de los permisos de la carpeta del buzón Otra técnica discutida fue el abuso de los permisos de las carpetas de los buzones de correo, que sirven como alternativa a las delegaciones de los buzones de correo. Dentro de un buzón, un propietario, administrador o cuenta con derechos de acceso completo puede otorgar permisos a otros usuarios que les permitan acceder a ciertas carpetas en un buzón. Hay muchos casos de uso legítimos para esto: compartir calendarios, buzones de correo de equipo o asistentes de administrador que acceden a determinadas carpetas.
«Al igual que los administradores, los atacantes que han adquirido suficientes permisos en un buzón de correo o inquilino pueden cambiar esos permisos para permitirles acceder al contenido de la carpeta», dijo Madeley. Es una técnica más antigua documentada por primera vez por Black Hills Security en 2017, pero sigue siendo eficaz.
El equipo de respuesta a incidentes vio recientemente que un actor de APT perdió el acceso a múltiples entornos al usar un medio ingenioso de apuntar a los buzones de correo solo para recurrir a este método de hacer un mal uso de los permisos de las carpetas de los buzones de correo.
«Lo que fue aún más fascinante fue que cuando recurrieron a este método, no se hicieron cambios en el medio ambiente durante nuestra investigación para hacer esto posible, lo que significó que esos cambios se hicieron hace mucho tiempo», anotó.
En última instancia, los atacantes buscarán roles con permisos de ReadItems, ya que permiten el acceso para leer elementos de correo electrónico en una carpeta específica. Hay varios roles con esta autorización: autor, editor, autor no editor, propietario, editor editorial, autor editorial y revisor. Madeley dijo que Reviewer en particular es el que vio su equipo de atacantes.
Además de los usuarios dentro del inquilino, hay dos usuarios especiales: un usuario anónimo o un usuario externo no autenticado y el usuario estándar o «todos». Este último incluye a todos los usuarios internos y autenticados. De forma predeterminada, el acceso para ambos tipos de usuarios se establece en Ninguno.
Sin embargo, un atacante puede aprovecharlo. Madeley vio que los atacantes asignaban al rol de revisor un usuario predeterminado que permitiría a cualquier usuario autenticado acceder a la carpeta del buzón. Los permisos no se transmiten en cascada de hijo a padre para las carpetas existentes, pero las carpetas recién creadas heredan el permiso. Esto se puede hacer «trivialmente» con el cmdlet Set-MailboxFolderPermission, señaló.
El atacante aún necesita mantener cierto nivel de acceso a través de una cuenta válida. Sin embargo, con este cambio, no es necesario que mantengan el acceso a una cuenta específica a la que desean dirigirse diaria o semanalmente. En su lugar, pueden usar una cuenta comprometida para acceder a 10 buzones de correo con permisos de carpeta modificados.
Kelly Sheridan es la editora de personal de Dark Reading, donde se centra en noticias y análisis de ciberseguridad. Es una periodista de tecnología empresarial que trabajó anteriormente para InformationWeek, donde cubrió Microsoft, y Seguros y tecnología, donde cubrió finanzas.
Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.
Las cookies estrictamente necesarias tiene que activarse siempre para que podamos guardar tus preferencias de ajustes de cookies.
Estas Cookies son:
Sesión de usuario
Comentarios
Seguridad
Aceptación de Cookies
Si desactivas esta cookie no podremos guardar tus preferencias. Esto significa que cada vez que visites esta web tendrás que activar o desactivar las cookies de nuevo.
