La mala higiene de identidades es la raíz del ataque de estado nación contra Microsoft

La última filtración de datos sufrida por Microsoft muestra una vez más que la detección y la respuesta no son suficientes. Debido a que el origen de un ataque casi siempre se limita a un único usuario y permisos pasados por alto, es imprescindible que las organizaciones cuenten con una seguridad preventiva robusta.

Microsoft anunció el 19 de enero que sufrió una filtración de datos vía Entra ID (anteriormente Azure AD) que fue perpetrada por un agente malicioso de estado nación apodado "Midnight Blizzard". Microsoft compartió información sobre el ataque, incluyendo tácticas, técnicas y procedimientos (TTP) y su orientación para profesionales de protección cibernética. Las empresas pueden ser intencionalmente vagas sobre determinados detalles de un ataque para mantener la confidencialidad de su entorno interno y minimizar el daño que puede sufrir su reputación. Sin embargo, Microsoft proporcionó algunos detalles para ayudar a comprender qué explotó "Midnight Blizzard" para vulnerar su entorno corporativo.

Lo que se destaca de esta filtración de datos es la necesidad de mejores esfuerzos de seguridad preventiva para reducir el riesgo generado por una mala higiene de identidades. Las identidades pasadas por alto, los permisos excesivos y los errores de configuración pueden tener graves consecuencias, incluso a pesar de las sofisticadas herramientas y capacidades de detección y respuesta. Tenable Identity Exposure identifica las vulnerabilidades que pueden explotar ataques como este, incluyendo:

• Falta de detección de autenticación multifactor (MFA).
• Permisos API peligrosos.
• Análisis de cuenta de administrador.

Repasemos brevemente lo que sucedió

Aunque el anuncio de Microsoft describió diferentes pasos en el ataque, explotó algunas debilidades muy comunes que incluyen: mala higiene de contraseñas, falta de MFA, permisos en exceso y roles de Entra privilegiados.

La fase inicial de acceso de este ataque fue un simple password spraying, una técnica de ataque en la que un agente malicioso ataca identidades con contraseñas débiles o en riesgo. Este ataque inicial fue dirigido a un entorno de no producción y "Midnight Blizzard" emprendió pasos muy cuidadosos durante esta fase para no ser detectado. Como explicó Microsoft: “El agente malicioso adaptó sus ataques de password spraying a un número limitado de cuentas, utilizando un número bajo de intentos para evadir la detección (...) lanzando posteriormente estos ataques desde una infraestructura de proxy residencial distribuida (...) cuenta que no tenía habilitada la autenticación multifactor”.

El haber contado con MFA en esta cuenta, pese a ser de no producción, podría haber evitado que el ataque de password spraying llegara a su objetivo final. Como mínimo, habría dificultado que tuviera éxito y por consiguiente permitir detectarlo mucho más fácilmente.

Posteriormente, el atacante fue del entorno de pruebas al entorno de producción corporativo al explotar permisos excesivos de Graph API. Aunque la aplicación fue registrada en el inquilino de prueba de Microsoft, a su identidad correspondiente se le otorgaron permisos de Graph API peligrosos en su inquilino de producción corporativo.  

El atacante obtuvo acceso a buzones de correo electrónico de ejecutivos clave de Microsoft durante más de dos meses. 

Eso permitió al agente malicioso vulnerar el registro de la aplicación y trasladarse al inquilino de producción a través de la identidad de servicio correspondiente. Después de obtener acceso al entorno corporativo de Microsoft, el agente malicioso obtuvo el permiso API “full_access_as_app” de Office 365 Exchange Online para las nuevas aplicaciones maliciosas que generó, lo que le permitió obtener acceso a los buzones ejecutivos clave durante más de dos meses.

Los permisos API frecuentemente otorgan acceso con ramificaciones que son complejas de descifrar y se sabe que la API de Microsoft Graph es muy difícil de entender. Puede ser que la misma Microsoft haya sido víctima de esta complejidad. Esta falta de higiene de identidades es claramente algo que el agente malicioso aprovechó para infiltrarse en el entorno de producción de Microsoft y obtener acceso a comunicaciones corporativas confidenciales.

Es evidente la necesidad de evaluar continuamente y comprender el riesgo para las identidades con el fin de realizar correcciones de manera inteligente y reducir la superficie de ataque antes de que ocurra un ataque. Aunque Microsoft ofrece diversas herramientas y servicios para detectar e interrumpir los ataques, las filtraciones de datos sofisticadas frecuentemente se reducen a pequeños descuidos dentro de una única cuenta o un permiso. El desafío de reducir preventivamente la superficie de ataque de las identidades se complica por su naturaleza siempre cambiante y requiere una validación continua del riesgo.

Tenable Identity Exposure valida continuamente la postura de seguridad de los sistemas de identidad de Microsoft y prioriza las identidades, permisos y configuraciones que representan riesgos para reducir inmediatamente la superficie de ataque.

Tenable proporciona cuatro indicadores de exposición (IoE) específicos para ayudar a prevenir este tipo de ataques. Dos IoE de exposición de identidad permiten a los clientes identificar las cuentas expuestas debido a la falta de MFA. Estos IoE descubren las cuentas de Microsoft Entra ID sin ningún método MFA registrado, que comúnmente son explotadas en ataques de password spraying:

• MFA faltante para cuenta privilegiada.
• MFA faltante para cuenta no privilegiada.

Tenable Identity Exposure también tiene dos IoE que detectan y analizan roles de Microsoft Entra y permisos de Microsoft Graph API peligrosos para que estos vectores de ataque puedan ser eliminados antes de que suceda un ataque:

• Permisos API peligrosos que afectan al inquilino.
• Gran número de administradores.

Con ellos habilitados, Identity Exposure valida continuamente varios aspectos críticos y comúnmente pasados por alto de los sistemas de identidad de Microsoft. Tenable también descubre las identidades con el mayor riesgo y proporciona orientación paso a paso para la corrección. Las tácticas empleadas por "Midnight Blizzard" son un buen ejemplo de los tipos de riesgos de identidad y rutas de ataque que Tenable Identity Exposure puede ayudar a eliminar para prevenir un ataque exitoso.

Para obtener más información de cómo Tenable Identity Exposure ayuda a reducir la superficie de ataque de su entorno de identidades de Microsoft, solicite una demostración o descargue nuestra hoja de datos de Tenable Identity Exposure.