Nuestra investigación recientemente publicada en el Informe 2020 Spotlight para Office 365 identifica las herramientas y servicios dentro de la aplicación cloud nube comúnmente aprovechados por los atacantes. Mediante la observación de 4 millones de cuentas de Office 365 durante un periodo de 90 días, hemos podido identificar comportamientos sospechosos de alto riesgo asociados a técnicas de ataque que aprovechan las funciones integradas de Office 365.
Esta investigación coincide con una enorme transición hacia el trabajo remoto -resultado de la actual pandemia de COVID-19- y la creciente adopción de plataformas SaaS, como Microsoft Office 365, como espacios de trabajo digitales de uso diario. Aunque Office 365 proporciona a la fuerza de trabajo distribuida un dominio principal para realizar negocios, también crea un repositorio central de datos e información que es un objetivo principal para que los atacantes lo exploten.
Aunque la autenticación multifactor (MFA ) es la mejor técnica para reducir la posibilidad de una brecha, las brechas en Office 365 siguen ocurriendo. Las medidas de seguridad MFA ya no son suficientes para disuadir los ataques maliciosos e insidiosos. De estos ataques, los de apropiación de cuentas son los que crecen más rápido y los más frecuentes, afectando negativamente a la reputación de las organizaciones e incurriendo en consecuencias financieras.
Comportamientos de los atacantes en Office 365
Después de que los atacantes consiguen introducirse en un entorno de Office 365, se pueden producir varias técnicas comunes, entre las que se incluyen:
- Buscar en correos electrónicos, historiales de chat y archivos en busca de contraseñas u otros datos de interés.
- Establecer reglas de reenvío para obtener acceso a un flujo constante de correo electrónico sin necesidad de volver a iniciar sesión.
- Aprovechamiento del canal de comunicación de confianza (por ejemplo, envío de un correo electrónico ilegítimo desde la cuenta oficial del director general, utilizado para aplicar ingeniería social a empleados, clientes o socios).
- Colocar malware o enlaces maliciosos en documentos en los que mucha gente confía y utiliza, manipulando de nuevo la confianza para eludir los controles de prevención que pueden activar alertas.
- Robo o retención de archivos y datos para exigir un rescate
¿Cómo lo hacen?
El Informe Spotlight descubrió que, de los servicios de Office 365, tres en particular destacaban como útiles para un ataque. OAuth se utiliza para establecer un punto de apoyo y persistencia, Power Automate se utiliza para el mando y control y el movimiento lateral, y eDiscovery se utiliza para el reconocimiento y la exfiltración.
1. OAuth es un estándar abierto para la autenticación de acceso
a menudo utilizado por aplicaciones de terceros para autenticar usuarios empleando los servicios de inicio de sesión de Office 365 y las credenciales asociadas del usuario. La concesión de código de autorización OAuth se puede utilizar en aplicaciones que se instalan en un dispositivo para obtener acceso a recursos protegidos, como API web. Los atacantes están aprovechando las aplicaciones Azure maliciosas habilitadas para OAuth para mantener el acceso persistente a las cuentas de Office 365 de los usuarios.
2. Power Automate permite a los usuarios crear integraciones personalizadas y flujos de trabajo automatizados entre aplicaciones de Office 365
Está activado por defecto e incluye conectores a cientos de aplicaciones y servicios de terceros, pero los flujos pueden eludir las políticas de seguridad, incluida la prevención de pérdida de datos (DLP). La amplia disponibilidad y facilidad de uso de Power Automate también lo convierten en una herramienta parcialmente útil para que los atacantes orquesten comportamientos maliciosos de comando y control y movimiento lateral.
3. eDiscovery es una herramienta de detección electrónica que busca en aplicaciones y datos de Office 365 y exporta los resultados.
Los atacantes utilizan eDiscovery como una poderosa herramienta de reconocimiento interno y exfiltración de datos; por ejemplo, podrían buscar "contraseña" o "pwd" en Microsoft Outlook, Teams, todos los archivos de SharePoint y OneDrive, y cuadernos de OneNote utilizando un simple comando.
Además, los atacantes pueden aprovechar las vulnerabilidades encontradas en Azure Active Directory, Exchange y SharePoint una vez que adquieren y explotan las credenciales de identidad y el acceso privilegiado. Los atacantes pueden escalar privilegios y realizar operaciones a nivel de administrador tras una toma de control de cuenta normal. Los agresores también habrán proporcionado acceso a una función confidencial para crear un acceso redundante al sistema.
Esto no quiere decir que los servicios de Office 365 sean fáciles de infiltrar; más bien, se trata de los permisos asignados al usuario y cómo se utilizan. Los equipos de seguridad deben disponer de un contexto detallado que explique cómo las entidades utilizan sus privilegios -lo que se conoce como privilegio observado- en aplicaciones SaaS como Office 365.
Esto se traduce en comprender cómo acceden los usuarios a los recursos de Office 365 y desde dónde, pero sin examinar la carga de datos completa para proteger la privacidad. Se trata de los patrones y comportamientos de uso, no del acceso estático.
Qué debe hacer para mitigar el riesgo
- Restringir el uso o eliminar la licencia interna de Power Automate de los usuarios de Office 365 que no tengan casos de uso legítimos.
- Revise sus políticas de prevención de pérdida de datos de Office 365 y utilice una "zona empresarial" para restringir el acceso de Power Automate a sus datos empresariales.
- Restringir el acceso a eDiscovery a los usuarios de Office 365 que tengan casos de uso legítimos
- Habilite la detección y respuesta a amenazas en tiempo real para identificar el uso sospechoso y malintencionado de las herramientas y servicios de Office 365.
Nunca se insistirá lo suficiente en la importancia de vigilar el uso indebido del acceso de los usuarios, dada su prevalencia en los ataques del mundo real. En el panorama actual de la ciberseguridad, las medidas de seguridad como la autenticación multifactor ya no son suficientes para disuadir a los atacantes. Las plataformas SaaS como Office 365 son un refugio seguro para el movimiento lateral de los atacantes, por lo que es primordial centrarse en el acceso de los usuarios a cuentas y servicios. Cuando los equipos de seguridad tienen información y expectativas sólidas sobre plataformas SaaS como Office 365, los comportamientos maliciosos y el abuso de privilegios son mucho más fáciles de identificar y mitigar rápidamente.
Desplegado en minutos sin agentes, Vectra Detect para Office 365 le da visibilidad de su superficie de ataque de Office 365 y le permite:
- Detectar actividad sospechosa en las cuentas, como múltiples intentos fallidos de inicio de sesión seguidos de éxito, y qué cuentas se utilizaron en ambos escenarios.
- Esté atento a la creación de flujos de Power Automate, la adición de nuevas cuentas y la instalación de aplicaciones maliciosas.
- Descubrir la escalada de privilegios, incluida la adición de usuarios a grupos
El informe Vectra 2020 Spotlight Report on Office 365 demuestra el valor de la detección y respuesta de red (NDR ) a la hora de descubrir ataques y permitir a los equipos de seguridad detener cualquier principio dañino que se haya instalado debido a un movimiento lateral.