Según la empresa, estos puntos débiles podrían hacer que un atacante consiguiese eludir la AMF y acceder a las aplicaciones cloud que utilizan este protocolo concreto, como es el caso en particular de Microsoft 365. Teniendo en cuenta la manera en la que está diseñado el inicio de sesión de Microsoft 365, el ciberdelincuente podría obtener acceso total a la cuenta de su víctima, incluyendo correos, documentos, contactos o datos, entre otros.
Las nuevas vulnerabilidades detectadas podrían servir asimismo para llegar a otros servicios en la nube ofrecidos por Microsoft, entre los que se encuentran entornos de producción y desarrollo como Azure y Visual Studio.
Las vulnerabilidades fueron demostradas por Proofpoint durante un evento virtual con usuarios Proofpoint Protect. En un comunicado, la empresa indica que lo más probable es que estos puntos débiles existan desde hace años y que, poniendo en práctica soluciones de proveedor de identidad (IDP), se han identificado las más susceptibles y resuelto sus problemas de seguridad.
Según la investigación de Proofpoint, la combinación del “protocolo inherentemente seguro” (WS-Trust), como así lo describía Microsoft, con diversos bugs (errores) en su aplicación daban como resultado estos puntos débiles. En ciertos casos el atacante podía falsear su dirección IP para eludir la AMF simplemente manipulando el encabezado de la solicitud.
En otras instancias, solo alterando la cabecera del usuario-agente, el IPD identificaba erróneamente el protocolo y creía que estaba empleando una autenticación moderna. Por su parte, Microsoft registraba en todos los casos la conexión como autenticación moderna, debido a que el exploit pivota del protocolo heredado al moderno. Así, los administradores y profesionales de seguridad que vigilan al inquilino pensarían que la conexión se ha realizado mediante autenticación moderna, sin ser conscientes de la situación y de los riesgos que esta conlleva realmente.
“Descubrir nuevas vulnerabilidades requiere de mucha investigación, ya que pueden incluso no dejar rastro o indicios de su actividad. Y dado que la AMF como medida preventiva puede llegar a eludirse, es necesario establecer medidas de seguridad adicionales para detectar y reparar cualquier compromiso de cuentas”, escribe Proofpoint, agregando que, aun así, la AMF se ha convertido rápidamente en un sistema de seguridad imprescindible para aplicaciones en la nube. La empresa recuerda que, de hecho, en los últimos meses, y en medio de una pandemia mundial, se disparó la demanda de estas aplicaciones, así como de plataformas de mensajería y colaborativas a medida que la fuerza laboral se acogía a la modalidad de teletrabajo, con la que muchos profesionales no tenían otra opción que conectarse al entorno corporativo desde un dispositivo personal. Tal circunstancia, unida a la proliferación de ciberataques con la Covid-19 como temática para hacerse con las credenciales de usuarios, ha aumentado los riesgos de seguridad en cuanto a accesos no autorizados en aplicaciones corporativas en la nube. Según otro estudio de Proofpoint sobre amenazas cloud, solo en la primera mitad de 2020, el 97% de las organizaciones sufrió ataques de fuerza bruta, y cerca de un 30% de estas empresas tenía al menos una cuenta en la nube comprometida.
La AMF posibilita que las organizaciones reduzcan su superficie de ataque gracias a una capa adicional de seguridad, más allá que la de usuario y contraseña, solicitando una autenticación mediante otro factor que solo tenga el usuario, como su teléfono móvil. No obstante, como así ha observado la compañía de ciberseguridad con estas vulnerabilidades, la AMF no proporciona por sí misma la suficiente protección, excepto si se combina con una visibilidad centrada en las personas y controles de acceso adaptativos.
