Brecha permite eludir autenticaci贸n multifactor de Microsoft 365

Proofpoint ha detectado una serie de vulnerabilidades de car谩cter cr铆tico en la implementaci贸n de la autenticaci贸n multifactor (AMF) en entornos de la nube en los que est谩 habilitado WS-Trust.

Seg煤n la empresa, estos puntos d茅biles podr铆an hacer que un atacante consiguiese eludir la AMF y acceder a las aplicaciones cloud que utilizan este protocolo concreto, como es el caso en particular de Microsoft 365. Teniendo en cuenta la manera en la que est谩 dise帽ado el inicio de sesi贸n de Microsoft 365, el ciberdelincuente podr铆a obtener acceso total a la cuenta de su v铆ctima, incluyendo correos, documentos, contactos o datos, entre otros.

Las nuevas vulnerabilidades detectadas podr铆an servir asimismo para llegar a otros servicios en la nube ofrecidos por Microsoft, entre los que se encuentran entornos de producci贸n y desarrollo como Azure y Visual Studio.

Las vulnerabilidades fueron demostradas por Proofpoint durante un evento virtual con usuarios Proofpoint Protect. En un comunicado, la empresa indica que lo m谩s probable es que estos puntos d茅biles existan desde hace a帽os y que, poniendo en pr谩ctica soluciones de proveedor de identidad (IDP), se han identificado las m谩s susceptibles y resuelto sus problemas de seguridad.

Seg煤n la investigaci贸n de Proofpoint, la combinaci贸n del 鈥減rotocolo inherentemente seguro鈥 (WS-Trust), como as铆 lo describ铆a Microsoft, con diversos bugs (errores) en su aplicaci贸n daban como resultado estos puntos d茅biles. En ciertos casos el atacante pod铆a falsear su direcci贸n IP para eludir la AMF simplemente manipulando el encabezado de la solicitud.

En otras instancias, solo alterando la cabecera del usuario-agente, el IPD identificaba err贸neamente el protocolo y cre铆a que estaba empleando una autenticaci贸n moderna. Por su parte, Microsoft registraba en todos los casos la conexi贸n como autenticaci贸n moderna, debido a que el exploit pivota del protocolo heredado al moderno. As铆, los administradores y profesionales de seguridad que vigilan al inquilino pensar铆an que la conexi贸n se ha realizado mediante autenticaci贸n moderna, sin ser conscientes de la situaci贸n y de los riesgos que esta conlleva realmente.

“Descubrir nuevas vulnerabilidades requiere de mucha investigaci贸n, ya que pueden incluso no dejar rastro o indicios de su actividad. Y dado que la AMF como medida preventiva puede llegar a eludirse, es necesario establecer medidas de seguridad adicionales para detectar y reparar cualquier compromiso de cuentas”, escribe Proofpoint, agregando que, aun as铆, la AMF se ha convertido r谩pidamente en un sistema de seguridad imprescindible para aplicaciones en la nube. La empresa recuerda que, de hecho, en los 煤ltimos meses, y en medio de una pandemia mundial, se dispar贸 la demanda de estas aplicaciones, as铆 como de plataformas de mensajer铆a y colaborativas a medida que la fuerza laboral se acog铆a a la modalidad de teletrabajo, con la que muchos profesionales no ten铆an otra opci贸n que conectarse al entorno corporativo desde un dispositivo personal. Tal circunstancia, unida a la proliferaci贸n de ciberataques con la Covid-19 como tem谩tica para hacerse con las credenciales de usuarios, ha aumentado los riesgos de seguridad en cuanto a accesos no autorizados en aplicaciones corporativas en la nube. Seg煤n otro estudio de Proofpoint sobre amenazas cloud, solo en la primera mitad de 2020, el 97% de las organizaciones sufri贸 ataques de fuerza bruta, y cerca de un 30% de estas empresas ten铆a al menos una cuenta en la nube comprometida.

La AMF posibilita que las organizaciones reduzcan su superficie de ataque gracias a una capa adicional de seguridad, m谩s all谩 que la de usuario y contrase帽a, solicitando una autenticaci贸n mediante otro factor que solo tenga el usuario, como su tel茅fono m贸vil. No obstante, como as铆 ha observado la compa帽铆a de ciberseguridad con estas vulnerabilidades, la AMF no proporciona por s铆 misma la suficiente protecci贸n, excepto si se combina con una visibilidad centrada en las personas y controles de acceso adaptativos.

Acerca de Proofpoint y Proofpoint CASB

Destacamos

Contacto | Diario TI es una publicaci贸n de MPA Publishing International Ltd.