Los atacantes cibernéticos comprometen los servidores de Microsoft Exchange a través de aplicaciones OAuth maliciosas

Los atacantes están implementando aplicaciones OAuth maliciosas en inquilinos de la nube comprometidos, con el objetivo de apoderarse de los servidores de Microsoft Exchange para propagar el spam.

Eso es según el equipo de investigación de Microsoft 365 Defender, que detalló esta semana cómo se lanzaron ataques de relleno de credenciales contra cuentas de alto riesgo que no tienen habilitada la autenticación multifactor (MFA), y luego aprovechar cuentas de administrador no seguras para obtener acceso inicial.

Posteriormente, los atacantes pudieron crear una aplicación OAuth maliciosa, que agregó un conector entrante malicioso en el servidor de correo electrónico.

Acceso al servidor modificado

“Estas modificaciones en la configuración del servidor de Exchange permitieron que el actor de amenazas realizara su objetivo principal en el ataque: enviar correos electrónicos no deseados”, señalaron los investigadores. en un blog el 22 de septiembre. “Los correos electrónicos no deseados se enviaron como parte de un esquema de sorteo engañoso destinado a engañar a los destinatarios para que se registren en suscripciones pagas recurrentes”.

El equipo de investigación concluyó que el motivo del hacker era difundir mensajes de spam engañosos sobre sorteos, induciendo a las víctimas a entregar la información de la tarjeta de crédito para habilitar una suscripción recurrente que les ofrecería "la oportunidad de ganar un premio".

“Si bien el esquema probablemente resultó en cargos no deseados a los objetivos, no hubo evidencia de amenazas de seguridad manifiestas, como el phishing de credenciales o la distribución de malware”, señaló el equipo de investigación.

La publicación también señaló que una creciente población de actores maliciosos ha estado implementando aplicaciones OAuth para varias campañas, desde puertas traseras y ataques de phishing hasta comunicaciones y redirecciones de comando y control (C2).

Microsoft recomendó implementar prácticas de seguridad como MFA que fortalecen las credenciales de la cuenta, así como políticas de acceso condicional y evaluación de acceso continuo (CAE).

“Si bien la campaña de spam de seguimiento se dirige a las cuentas de correo electrónico de los consumidores, este ataque se dirige a los inquilinos empresariales para utilizarlos como infraestructura para esta campaña”, agregó el equipo de investigación. “Este ataque expone las debilidades de seguridad que podrían ser utilizadas por otros actores de amenazas en ataques que podrían afectar directamente a las empresas afectadas”.

MFA puede ayudar, pero se requieren políticas de control de acceso adicionales

“Si bien MFA es un gran comienzo y podría haber ayudado a Microsoft en este caso, hemos visto recientemente en las noticias que no todos los MFA son iguales”, señala David Lindner, CISO de Contrast Security. "Como organización de seguridad, es hora de que comencemos con 'el nombre de usuario y la contraseña están comprometidos' y construyamos controles en torno a eso".

Lindner dice que la comunidad de seguridad debe comenzar con algunos conceptos básicos y seguir el principio de privilegio mínimo para crear políticas de control de acceso adecuadas, impulsadas por el negocio y basadas en roles.

“Necesitamos establecer controles técnicos apropiados como MFA, FIDO2 como su mejor opción: autenticación basada en dispositivos, tiempos de espera de sesión, etc.”, agrega.

Por último, las organizaciones necesitan monitorear anomalías tales como “inicios de sesión imposibles” (es decir, intentos de inicio de sesión en la misma cuenta desde, digamos, Boston y Dallas, con 20 minutos de diferencia); intentos de fuerza bruta; y el usuario intenta acceder a sistemas no autorizados.

“Podemos hacerlo y podemos aumentar en gran medida la postura de seguridad de una organización de la noche a la mañana al reforzar nuestros mecanismos de autenticación”, dice Lindner.