Los atacantes adivinaron la contraseña de una cuenta inactiva y pudieron aplicarle su propio MFA, proporcionando acceso a la red de la víctima.
Los ciberdelincuentes están explotando las cuentas inactivas de Microsoft para eludir la autenticación multifactor (MFA) y obtener acceso a los servicios y redes en la nube, advierten los investigadores.
La técnica ha sido detallada por investigadores de seguridad cibernética en Mandiant, quienes dicen que el exploit está siendo utilizado en campañas de hacking por APT29, también conocido como Cozy Bear, una operación de hacking y espionaje que se cree que está vinculada al Servicio de Inteligencia Exterior de Rusia (SVR). Se cree que otros grupos ofensivos de amenazas cibernéticas están usando las mismas tácticas.
La autenticación multifactor es una herramienta útil para las organizaciones que buscan evitar la apropiación de cuentas y los ataques cibernéticos contra los servicios en la nube y otras partes de la red. Sin embargo, si bien es extremadamente eficaz para defenderse de las intrusiones, no es infalible y los atacantes cibernéticos están encontrando formas de evitarlo.
Según Mandiant, los ciberdelincuentes están explotando el proceso de autoinscripción para aplicar MFA a Microsoft Azure Active Directory y otras plataformas para tomar el control de Microsoft 365 y otras cuentas.
Cuando las organizaciones implementan MFA por primera vez para los usuarios, muchas plataformas les permiten inscribir su dispositivo MFA, generalmente su teléfono inteligente, la próxima vez que inician sesión. Este proceso a menudo se sigue porque es la forma más eficiente de proporcionar MFA a tantos usuarios como sea posible. para ayudar a proteger sus cuentas de acuerdo a experto de concientización de seguridad de la información.
Pero como señalan los investigadores, si no hay una verificación adicional en torno al proceso de inscripción de MFA, cualquier persona que conozca el nombre de usuario y la contraseña de una cuenta puede aplicarle la autenticación de múltiples factores, siempre que sea la primera persona en hacerlo, y los hackers están utilizando esto para obtener acceso a las cuentas.
En un caso detallado por Mandiant, los atacantes atribuidos a APT29 obtuvieron acceso a una lista de buzones de correo no revelados que obtuvieron por medios desconocidos y lograron adivinar la contraseña de una cuenta que se había configurado, pero que nunca se usó.
El atacante al que Azure Active Directory le pidió que configurara la autenticación multifactor no solo tenía el control de la cuenta, sino que también pudo vincular MFA a un dispositivo de su propiedad, explotando MFA para proporcionarles acceso a la cuenta en lugar de mantenerlos fuera. .
Desde aquí, los atacantes pudieron usar la cuenta para acceder a la infraestructura VPN de la organización víctima. Los investigadores no revelan a la víctima o cuál era el objetivo de este ataque, aunque se sabe que APT29 apunta a los intereses de EE. UU. y los de la OTAN y los países socios.
El incidente muestra que incluso con la autenticación de múltiples factores, es posible que los ciberdelincuentes eludan las funciones de protección para acceder y explotar cuentas inactivas, algo que podría pasar desapercibido durante algún tiempo.
Es especialista en ciberseguridad con más de 16 años de experiencia en seguridad de la información. Conoce muy bien la inteligencia de amenazas, la gestión de riesgos, la evaluación de vulnerabilidades y las pruebas de penetración, el análisis forense cibernético y la tecnología de seguridad en la nube (AWS, Azure, Google Cloud). Ocupó varios puestos de investigador de ciberseguridad en diferentes empresas. Tiene experiencia en diferentes industrias como finanzas, atención médica, marketing, gobierno, finanzas turísticas, aerolíneas, telecomunicaciones y biometría.