Especialistas de la firma de seguridad Proofpoint han revelado el hallazgo de múltiples vulnerabilidades críticas en la autenticación multifactor de entornos en la nube donde se habilita WS-Trust. Acorde a expertos en seguridad en redes inalámbricas, las fallas podrían permitir a los actores de amenazas esquivar la autenticación multifactor y acceder a aplicaciones como Microsoft 365, comprometiendo toda clase de información confidencial.
Por si fuera poco, las fallas también podrían ser explotadas para acceder a otros servicios de Microsoft en la nube, incluyendo Azure y Visual Studio, entre otros.
En su presentación, los investigadores mencionaron que es probable que las fallas hayan existido desde hace tiempo, aunque esto no ha sido del todo comprobado. Además mencionan que estas fallas existen debido a la combinación de múltiples errores en la implementación del protocolo WS-Trust. En algunos de los escenarios descritos, los hackers maliciosos podrían falsificar la dirección IP de un usuario objetivo para esquivar la autenticación multifactor empleando la manipulación de encabezados de solicitud.
Aunque encontrar estas fallas es complicado, su explotación puede ser muy sencilla e incluso puede llevarse a cabo de forma automatizada. La investigación de un potencial ataque también es complicada, puesto que las actividades maliciosas no aparecen en los registros ni dejan rastros de actividad, mencionan los expertos en seguridad en redes inalámbricas.
Respecto al despliegue de ataques, es posible para los actores de amenazas utilizar métodos ampliamente recurridos, como el phishing o el secuestro de canales, como se describe a continuación.
Ataques de phishing en tiempo real
El phishing en tiempo real es una variante mucho más agresiva puesto que los actores de amenazas pueden capturar las credenciales de inicio de sesión de los usuarios con herramientas automatizadas. Una variante popular de phishing en tiempo real es la conocida como reflejo de desafío, en la que se pide a los usuarios que completen sus credenciales de inicio de sesión en un sitio web malicioso, distribuyendo un ataque en tiempo real.
Secuestro de canal
Este escenario requiere de una variante de malware que puede ser inyectado en el sistema de la víctima mediante ataques Man-in-The-Browser o con la inyección web para obtener la información del usuario objetivo.
Las variantes de malware usadas en estos ataques pueden extraer las credenciales de inicio de sesión del teléfono, además de interceptar mensajes de texto y hackear un contestador automático.
Protocolos heredados
Estos no son los únicos métodos usados por los actores de amenazas. Una variante más económica y menos compleja abusa de los protocolos heredados presentes en dispositivos o cuentas en desuso; acorde a los expertos en seguridad en redes inalámbricas, los protocolos email heredados (POP, IMAP) no son compatibles con la autenticación multifactor en aplicaciones no interactivas, por lo que no se aplica correctamente. Si bien múltiples organizaciones han bloqueado protocolos heredados como medida de seguridad, este sigue siendo un problema general.
Mecanismos de seguridad aplicables
La amenaza es real, por lo que los expertos de Proofpoint recomiendan implementar las siguientes medidas para mejorar la seguridad de su infraestructura en la nube:
- Bloquear automáticamente el acceso desde ubicaciones y redes de riesgo
- Aplicar políticas centradas en las personas
- Aplicar controles más agresivos: autenticación multifactor, acceso a través del aislamiento del navegador, uso de red privada virtual (VPN), entre otras
La implementación de estas medidas impactará positivamente la seguridad de su organización.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
