Acerca de la Caza de 5 minutos: La Caza de 5 minutos es una nueva función disponible en la PlataformaVectra AI en la pestaña Investigar. Cada semana, encontrarás un breve fragmento de búsqueda dentro del producto que destaca un comportamiento específico del atacante y te proporciona una consulta lista para ejecutar para detectarlo.
Por qué las aplicaciones multiusuario le ponen en peligro
Las aplicaciones multiinquilino de Microsoft 365 están diseñadas para el acceso entre organizaciones, pero cuando están mal configuradas pueden crear una peligrosa puerta trasera. Una simple conmutación puede exponer recursos internos a usuarios externos. Los atacantes explotan esto a través de ataques basados en el consentimiento, obteniendo acceso no autorizado sin robar credenciales. Investigadores de seguridad demostraron recientemente cómo esta debilidad exacta permitía acceder a más de 22 servicios internos de Microsoft. Para los equipos SOC, esto significa que las aplicaciones multi-tenant mal configuradas o activadas involuntariamente amplían significativamente la superficie de ataque.
Cómo explotan los atacantes las aplicaciones multiusuario
Los adversarios se aprovechan de estas debilidades de varias maneras:
- Consent Phishing at Scale
Cuando una aplicación multi-tenant está expuesta, los atacantes pueden engañar a los usuarios para que den su consentimiento OAuth. Una vez aprobado, la aplicación controlada por el atacante obtiene tokens legítimos para acceder a los recursos sin necesidad de robar credenciales. - Token Issuance from the Wrong Authority
En los casos en que una aplicación se registra incorrectamente como multi-tenant, Entra ID puede emitir tokens de acceso desde el propio tenant del usuario en lugar del tenant del recurso. Esto significa que el atacante es autenticado, pero por la autoridad equivocada, eludiendo los controles y heredando el acceso que la aplicación nunca pretendió otorgar. - Service Principal Instantiation
Aceptar una solicitud de consentimiento crea automáticamente un service principal para la aplicación dentro del tenant de la víctima. Los atacantes aprovechan esto para mantener el acceso o escalar el alcance encadenando permisos a través de otras aplicaciones. - Enumeración de aplicaciones vulnerables
Mediante la exploración de subdominios y el análisis de los parámetros client_id, los atacantes pueden identificar qué aplicaciones están configuradas como multi-tenant. Cada una de ellas se convierte en un punto de entrada potencial, especialmente si los desarrolladores asumieron el uso de un único inquilino pero dejaron habilitados los puntos finales comunes. - Pivotando a sistemas internos
Una vez obtenido el acceso, los atacantes pueden explorar aplicaciones conectadas, portales internos o API. En el estudio de caso de Microsoft, esto dio lugar a la exposición de centros de ingeniería, registros de riesgos e incluso infraestructura de construcción, todo ello accesible desde una cuenta personal de Microsoft 365.
El riesgo no reside en un único paso en falso, sino en cómo interactúan las configuraciones multiusuario con el consentimiento y la emisión de tokens. Una aplicación mal configurada puede abrir todo el entorno a usuarios no autorizados, dando a los atacantes un punto de apoyo para explorar datos confidenciales o escalar privilegios.
Convertir la explotación en detección
Averigüemos ahora cómo detectar estos riesgos en su propio entorno Entra ID. Las malas configuraciones no siempre dejan rastros obvios, pero cada cambio en Entra ID deja un rastro de auditoría. Al enfocarse en cuando la propiedadAvailableToOtherTenants de una aplicación es cambiada a "true", usted puede identificar rápidamente casos donde una aplicación ha sido convertida en multi-tenant-intencionalmente o no.
La siguiente consulta está diseñada para mostrar exactamente eso. Busca modificaciones recientes que permitan el acceso multiusuario y proporciona el contexto necesario (quién realizó el cambio, desde dónde y cuándo) para decidir si la acción es legítima o sospechosa.
Objetivo de la consulta: Detectar si las aplicaciones del tenant se han modificado para permitir el acceso multi-tenant e investigar los detalles del cambio:
SELECT timestamp, vectra.identity_principal, operation, extended_properties, object_id, device_properties, client_ip, modified_properties
FROM m365.active_directory._all WHERE any_match(modified_properties, m -> (m.display_name
LIKE '%AvailableToOtherTenants%' AND m.new_value LIKE '%true%'))
AND timestamp > date_add('day',-30, now())
ORDER BY timestamp DESC
LIMIT 100Qué buscar en los resultados
Cuando se ejecuta esta consulta, los resultados ofrecen una visión clara de cómo y cuándo se modifican las aplicaciones para permitir el acceso multiusuario. Para separar los cambios empresariales legítimos de las posibles actividades maliciosas, centre su atención en estas áreas:
- Aplicaciones modificadas para el acceso de varios inquilinos
Fíjese bien en qué aplicaciones se han cambiado para permitir el acceso de otros inquilinos. Las aplicaciones críticas para el negocio rara vez necesitan esta configuración, por lo que las entradas inesperadas deben levantar una bandera roja. - La identidad o el usuario que realizó el cambio
El campo vectra.identity_principal muestra quién realizó la modificación. ¿Fue un desarrollador, un administrador o una cuenta que normalmente no debería gestionar registros de aplicaciones? Este contexto puede apuntar rápidamente a un error interno o a un compromiso externo. - Direcciones IP de cliente de las solicitudes de modificación
Cruza la client_ip con tus rangos conocidos o datos de geolocalización. IPs desconocidas, geografías extranjeras o fuentes maliciosas conocidas podrían indicar la mano de un atacante en el cambio. - Patrones temporales de las modificaciones
Presta atención a cuándo se han producido los cambios de configuración. La actividad fuera de horario, las ráfagas de modificaciones múltiples o la agrupación inusual en torno a fines de semana y días festivos suelen coincidir con el comportamiento de los atacantes. Combinando estos datos, puede distinguir las operaciones rutinarias de TI de los cambios sospechosos que merecen una investigación más profunda.
Cómo seguir investigando
Si su consulta muestra aplicaciones que se han convertido en multi-tenant, utilice los siguientes pasos para determinar si el cambio es seguro, intencionado o malicioso:
- Verificar si la configuración multiarrendatario fue intencionada y autorizada .
- Revisar los permisos y el alcance de la aplicación para evaluar el impacto potencial
- Comprobar si la cuenta del usuario modificador ha sido comprometida
- Examinar la IP del cliente en busca de anomalías geográficas o fuentes maliciosas conocidas.
- Validar la justificación empresarial de los requisitos de acceso multiusuario.
- Considere la posibilidad de desactivar temporalmente la aplicación si el cambio parece no autorizado
Reflexiones finales
Una aplicación mal configurada puede dar a los atacantes un acceso que nunca deberían tener. Si realiza esta búsqueda con regularidad, su equipo SOC podrá detectar rápidamente los cambios no autorizados y acabar con los abusos basados en el consentimiento antes de que se intensifiquen.
Si ya está utilizando la plataformaVectra AI , puede explorar esta y otras búsquedas dentro de la plataforma en la pestaña Investigar, donde se publican regularmente nuevas búsquedas de 5 minutos para ayudarle a descubrir comportamientos de atacantes más rápidamente.
¿Aún no es cliente? Vea la función 5-Minute Hunt en acción y descubra cómo la plataforma Vectra AI cierra las brechas de detección de identidad, red y cloud con nuestra demostración autoguiada.
