Los investigadores de Proofpoint han descubierto recientemente vulnerabilidades críticas en la implementación de la autenticación multifactor (MFA) en entornos basados en la nube con WS-Trust activado. La vulnerabilidad informática puede permitirles a los atacantes evadir la MFA y acceder a aplicaciones basadas en la nube que utilicen el protocolo, siendo Microsoft 365 un ejemplo muy notable. Debido a la forma en que está diseñado el inicio de sesión de Microsoft 365, un atacante podría obtener acceso total a la cuenta de su objetivo (incluyendo correo electrónico, archivos, contactos, datos y más). Además, estas vulnerabilidades también podrían aprovecharse para obtener acceso a varios otros servicios basados en la nube suministrados por Microsoft, por ejemplo, entornos de producción y desarrollo como Azure y Visual Studio.
Las vulnerabilidades de Microsoft fueron anunciadas por Proofpoint y demostradas en nuestra conferencia virtual para usuarios, Proofpoint Protect. Lo más probable es que la vulnerabilidad informática haya existido durante años. Hemos testado diversas soluciones de Proveedor de Identidades (IDP), identificado aquellas que resultaron susceptibles y resuelto los problemas de seguridad.
Las vulnerabilidades fueron resultado del “protocolo inherentemente inseguro” (WS-Trust), según la descripción de Microsoft, combinado con diversos errores de implementación cometidos por los IDP. En algunos casos, un atacante era capaz de falsificar su dirección IP para evadir la MFA con tan solo una sencilla manipulación del encabezado de la solicitud. En otro de los casos, la alteración del encabezado de usuario-agente provocó que el IDP identificara incorrectamente el protocolo y pensara que estaba usando autenticación moderna. En todos los casos, Microsoft registra la conexión como “autenticación moderna”, debido a que la estrategia alterna entre el protocolo heredado y el moderno. Ignorantes de la situación y de los riesgos que conlleva, los administradores y profesionales de la seguridad que monitorean al inquilino considerarían que la conexión se habría hecho mediante autenticación moderna.
Detectar vulnerabilidades requiere de una cierta cantidad de investigación, pero una vez descubiertas es posible explotarlas de manera automática. Son difíciles de detectar y podrían simplemente no aparecer reflejadas en los registros de eventos, con lo que no queda rastro de su actividad. Como la MFA es una medida preventiva que es posible evadir, se hace necesario agregar capas de seguridad adicionales en forma de medidas de detección y corrección de compromisos de cuenta.
La adopción de la MFA se acelera durante la pandemia
La autenticación multifactor (MFA) se está convirtiendo rápidamente en una capa de seguridad obligatoria para las aplicaciones en la nube, como Microsoft 365 cloud app security. Durante la pandemia, surgió una nueva demanda de aplicaciones basadas en la nube, como plataformas de mensajería y colaboración, a medida que las organizaciones se fueron cambiando al teletrabajo. Los empleados han comenzado a acceder a aplicaciones corporativas desde dispositivos personales no gestionados. Y comenzaron a pasar más tiempo en sus dispositivos corporativos en casa, leyendo correos electrónicos potencialmente malintencionados o navegando por páginas web de riesgo.
Los ataques con el tema del COVID-19 lograron aprovecharse de las preocupaciones de las personas para comprometer sus credenciales, incrementando así el riesgo para la seguridad del acceso no autorizado a aplicaciones corporativas basadas en la nube. La MFA puede contribuir a disminuir la superficie vulnerable de su organización agregando otra capa de seguridad para las cuentas. Complementa el modelo de “nombre de usuario y contraseña” con otro factor que solamente el usuario posee, como su teléfono móvil. Cada vez van surgiendo nuevas vulnerabilidades y la MFA no brinda suficiente protección por sí misma.
Cómo logran los atacantes evadir a la MFA
Algunos métodos comunes para evadir la MFA son: el phishing en tiempo real, el secuestro de canales y el uso de protocolos heredados.
Phishing en tiempo real
A diferencia del phishing común y corriente, el phishing en tiempo real implica robar el factor adicional del usuario. En algunos casos, el atacante podría crear un “proxy” entre la página web objetivo y la víctima. El “proxy” luce similar a la página web original. Usando esta página web impostora, el atacante manipula a la víctima para que le revele el código de autenticación junto con sus credenciales. Estos ataques incluso se pueden automatizar con herramientas como Modlishka. Sin embargo, los atacantes deben actualizar frecuentemente sus herramientas para evitar que los grandes proveedores puedan detectarlos, y precisan de una infraestructura más compleja.
Otro método de phishing en tiempo real que los atacantes emplean se denomina “challenge reflection” (en español, “reflexión de desafío”), en el que a los usuarios se les pide que rellenen sus credenciales de MFA en una página de phishing, y esas credenciales se les distribuyen a los atacantes en tiempo real. Si bien este método no requiere de un intermediario, suele implicar a una persona real que facilita todo el proceso de comprometer la cuenta para cada una de las cuentas objetivo.
Secuestro de canalES
El secuestro de canales ataca al teléfono u ordenador de la víctima, típicamente mediante malware. El malware para PC puede servirse de un perpetrador presente en el navegador o inyecciones de código desde la web para obtener información. Algunos malware se roban la MFA del teléfono. En algunos casos, los atacantes incluso llegan a robarse mensajes de texto directamente desde la torre repetidora de señales o mediante una torre pirata, apoderándose del número telefónico de la víctima o pirateando su contestador de voz.
Protocolos heredados
Un método más barato y escalable para evadir la MFA se aprovecha de los protocolos heredados para atacar cuentas basadas en la nube pública o privada. Muchas organizaciones siguen permitiendo que los protocolos heredados sean compatibles con dispositivos o aplicaciones heredados, como fotocopiadoras o cuentas compartidas, tales como salas de conferencias. Los protocolos heredados de correo electrónico, como POP e IMAP no son compatibles con MFA con aplicaciones no interactivas, así que no pueden implementarla. Este método de evasión es fácil de automatizar y se aplica a los volcados de credenciales desde la web o a las credenciales obtenidas mediante phishing. Si bien las organizaciones comenzaron a bloquear los protocolos heredados o a permitirlos solo a ciertos usuarios específicos, el problema persiste.
Estudios de amenazas en la nube realizados por Proofpoint demostraron que, en la primera mitad del 2020, el 97% de las organizaciones sufrieron ataques de fuerza bruta y que el 30% de estas tenían al menos una cuenta basada en la nube que resultó comprometida. Cuando estudiamos los ataques en la nube basados en correo electrónico (phishing de credenciales, malware, etc.), encontramos que el 73% de los inquilinos monitorizados fueron objetivos y que el 57% estaban comprometidos. Cuando se trata de seguridad en la red, la MFA no es una panacea. A medida que más y más organizaciones adoptan la tecnología, más vulnerabilidades de Microsoft descubrirán (y aprovecharán) los atacantes. Sin embargo, la MFA puede mejorar la situación de seguridad en general, especialmente al combinarla con la visibilidad de amenazas centrada en las personas y los controles de acceso adaptables.
Combinar la MFA y la visibilidad de la amenaza para proteger las aplicaciones basadas en la nube
Como una primera capa de protección SaaS y LaaS, Proofpoint CASB ofrece controles de acceso adaptables para ayudarle a evitar la toma de posesión de las cuentas. Estas medidas de seguridad en tiempo real están basadas en el riesgo, contexto, rol y la elaboración de perfiles Proofpoint de Personas Muy Atacadas. Esto es lo que le capacitamos para poder hacer:
- Bloquear automáticamente el acceso desde ubicaciones y redes riesgosas por parte de amenazas conocidas.
- Aplicar políticas centradas en la persona a usuarios de alto riesgo y alto privilegio.
- Implementar controles más granulares: MFA, acceso mediante aislamiento del navegador, inicio de sesión mediante el uso de VPN, etc.
A diferencia de los controles estáticos de seguridad y de cumplimiento que se aplican a todos los usuarios por igual, los controles de acceso basados en CASB son adaptables. Le permiten aplicar la cantidad precisa de controles de seguridad y cumplimiento sin sobrecargar a los usuarios de bajo riesgo.
En vista del riesgo de evasión de MFA, el CASB ofrece visibilidad de amenazas centrada en las personas como segunda capa de protección. Proofpoint combina la inteligencia de amenazas entre canales (la nube, correo electrónico y otros) con datos contextuales específicos de los usuarios provenientes de registros de la aplicación para analizar el comportamiento del usuario y detectar anomalías en los inquilinos y aplicaciones basadas en la nube. Mediante el aprendizaje automático y la inteligencia de amenazas enriquecida, le ayudamos a detectar, investigar y remediar automáticamente el secuestro de cuentas en la nube.
Más información:
Obtenga más información acerca de la solución de Proofpoint descargando nuestro libro blanco: Comenzar a utilizar el CASB. Para ver la sesión de “Evadir la MFA para aplicaciones basadas en la nube” y la demostración de vulnerabilidades, regístrese en Proofpoint Protect aquí.