Mitiga dice que MFA, incluso si está mal configurado, no es una panacea para evitar que los atacantes abusen de las credenciales comprometidas.
La autenticación multifactor (MFA) a menudo se cita como uno de los mejores métodos de seguridad disponibles para proteger cuentas y credenciales confidenciales. Incluso si la contraseña se filtra o es robada, los piratas informáticos no pueden usarla para iniciar sesión en la cuenta sin esa segunda forma de autenticación. Pero para que sea efectivo, MFA debe configurarse de forma adecuada y segura; de lo contrario, un ciberdelincuente inteligente puede encontrar formas de eludirlo.
A informe publicado el miércoles, 24 de agosto, por la firma de asesoría de seguridad Mitiga analiza una campaña reciente de compromiso de correo electrónico comercial contra una organización que usa Microsoft 365. Los atacantes pudieron acceder a información confidencial al explotar configuraciones predeterminadas débiles en la autenticación multifactor de Microsoft, según Mitiga. Aunque las personas de la organización objetivo pudieron evitar cualquier actividad fraudulenta, el incidente sirve como advertencia sobre la configuración incorrecta de MFA.
En este ataque, los ciberdelincuentes obtuvieron acceso no autorizado a la cuenta de Microsoft 365 de un ejecutivo de una organización desde varias ubicaciones, incluido Singapur; Dubái; y San José, California.
Los atacantes pudieron comprometer la cuenta y el buzón del usuario a través de un adversario-en-el-medio (AiTM) táctica. Con un truco AiTM, un adversario crea un servidor proxy entre la víctima y el sitio web al que se accede, lo que le permite capturar las contraseñas del objetivo y las cookies de sesión del navegador.
Para proteger la cuenta de la víctima, la organización había implementado Microsoft MFA a través de la aplicación Microsoft Authenticator, que debería haber detenido cualquier uso de credenciales robadas. Tras un análisis más detallado, Mitiga descubrió que se había configurado una segunda aplicación de autenticación sin el conocimiento de la víctima, lo que proporcionaba a los atacantes los medios para seguir utilizando la cuenta violada.
Microsoft MFA no siempre requiere una segunda forma de autenticación
El problema, según Mitiga, radica en la débil configuración predeterminada de Microsoft MFA. Esta tecnología funciona al decidir cuándo requerir esa segunda forma de autenticación, como en los casos en que alguien intenta acceder a los recursos desde una dirección IP diferente, solicita privilegios de administrador elevados o intenta recuperar datos confidenciales.
Al analizar el token en una sesión de inicio de sesión activa, Microsoft MFA determina si la sesión se autorizó previamente. Si es así, no se requiere la segunda forma de autenticación. Pero esta decisión la toma únicamente el motor de autenticación de Microsoft; los clientes no pueden configurarlo ellos mismos, según Mitiga.
El informe citó dos ejemplos en los que la decisión de Microsoft MFA de no requerir la segunda forma de autenticación puede ser problemática.
Un ejemplo implica la Gestión de identidad privilegiada (PIM) característica, a través de la cual los usuarios administrativos pueden trabajar con derechos no administrativos y luego usar la herramienta PIM para elevar sus permisos cuando sea necesario. En este caso, un atacante podría usar PIM para elevar una cuenta no administrativa comprometida a una con privilegios de administrador.
En otro ejemplo, Microsoft no requiere una segunda forma de autenticación al acceder y cambiar los métodos de autenticación del usuario en la sección Información de seguridad del perfil de la cuenta. Un usuario que estaba previamente autorizado en una sesión puede agregar una nueva aplicación de autenticación sin que se le solicite. Así es como el atacante en el incidente citado por Mitiga pudo continuar usando la cuenta comprometida.
“Dado el crecimiento acelerado de los ataques AiTM (incluso sin la persistencia permitida por un atacante que agrega un nuevo método de autenticación comprometido), está claro que ya no podemos confiar en la autenticación multifactor como nuestra principal línea de defensa contra los ataques de identidad. ”, dijo Mitiga en el informe. “Recomendamos encarecidamente establecer otra capa de defensa, en forma de un tercer factor, vinculado a un dispositivo físico oa la computadora portátil y el teléfono autorizados del empleado.
«Microsoft 365 ofrece esto como parte del acceso condicional al agregar un requisito para autenticarse solo a través de un dispositivo inscrito y compatible, lo que evitaría por completo los ataques AiTM».
Consejos para prevenir ataques AiTM que explotan MFA
En un comunicado enviado a TechRepublic, un portavoz de Microsoft también ofreció recomendaciones sobre cómo detener los ataques AiTM que pueden explotar la autenticación multifactor.
“Es importante tener en cuenta el phishing de AitM, y recomendamos que los usuarios practiquen buenos hábitos informáticos en línea, lo que incluye tener precaución al hacer clic en enlaces a páginas web, abrir archivos desconocidos o aceptar transferencias de archivos”, dijo el portavoz. “Recomendamos que los clientes utilicen el acceso condicional de Azure AD para establecer reglas específicas para los niveles de riesgo permitidos, las ubicaciones, el cumplimiento del dispositivo y otros requisitos para evitar el registro de nuevas credenciales por parte de los adversarios.
“Siempre que sea posible, también recomendamos usar credenciales resistentes al phishing como Windows Hello o FIDO. Para ayudar a proteger a los clientes contra este tipo de ataque, Authenticator ofrece información de contexto para advertir al usuario que su ubicación no es familiar o que la aplicación no es la que esperaban”.
Más consejos provienen de Aaron Turner, CTO de SaaS Protect en la firma de ciberseguridad Vectra. Al señalar que la organización objetivo descrita por Mitiga estaba usando una configuración predeterminada relativamente débil en Microsoft 365, Turner afirmó que Microsoft proporciona una solución para detener los ataques AiTM, pero es una que debe reforzarse.
Con ese fin, las organizaciones deben seguir estas tres pautas:
- Asegúrese de que el autoservicio de restablecimiento de contraseña requiera dos factores de autenticación para restablecer las contraseñas de las cuentas.
- Permita que Microsoft Authenticator se instale solo a través de un control de Administración de aplicaciones móviles o Administración de dispositivos móviles establecido a través de Microsoft Intune.
- Configure políticas de acceso condicional para permitir que Microsoft Authenticator solo funcione desde aplicaciones administradas o desde dispositivos administrados.
“Esta combinación de controles habría protegido a la organización víctima en este caso”, agregó Turner. “Hemos observado que incluso estos controles pueden ser eludidos por los actores del estado-nación, por lo que invertir en capacidades adecuadas de detección y respuesta es fundamental para reducir la oportunidad de riesgo creada por atacantes sofisticados”.