Lo último en ataques contra usuarios de Office 365 son las apps maliciosas

Los delicuentes dedicados a engañar mediante correos fraudulentos (abreviando, los phishers) están girando hacia nuevas tácticas de ataque contra usuarios de Microsoft Office 365.

Concretamente, resulta preocupante como, al utilizar enlaces especificamente diseñados, llevan a los usuarios de vuelta a la página de inicio de sesión de su empresa, o bien la propia Microsoft.com si es un particular.

Contar con este nivel de acceso, a su vez, les sirve de trampolín para infectar a otros usuarios de la lista de contactos del afectado, lanzando así campañas de phishing expansivas.

Cuando el usuario se identifica, dicho enlace le solicita añadir una aplicación maliciosa -pero de nombre inocuo- que le da al atacante persistencia y acceso sin necesidad de contraseña a cualquier archivo o email del usuario en cuestión.

Brian Krebs

Phishing y bypass de mecanismos MFA en Office 365

Microsoft cuenta con cientos de millones de usuarios en todo el mundo. Ya fue atacada hace poco -Campaña Fake Updates en Microsoft Teams– y esto, unido a que ciertos mecanismos como 2FA via SMS no son invulnerables o que mecanismos inherentes a MFA- como el lenguaje SAML- tienen sus propios problemas potenciales, debería hacernos mantener la guardia.

Proofpoint ha publicado nuevos datos sobre el aumento de estas aplicaciones maliciosas en Office 365. El caso es que mucha gente las asocia a su organización sin hacerse muchas preguntas, así que el porcentaje de éxito es elevado.

• 

• 

El 55% de clientes de Proofpoint han experimentado ha experimentado ciberataques de este tipo, según Ryan Kalember, el Vicepresidente Ejecutivo. De aquellos, un 22% fueron realmente comprometidos.

Este escenario no implica necesidad de contar con ni de crackear la contraseña del usuario, o hacer un Pass the Hash, sino simplemente engañar al usuario para que conceda permiso de acceso a una app aparentemente legítima.

De hecho, esto es algo que ya comentaron desde Proofpoint el año pasado, indicando que los cibercriminales podían añadir, por ejemplo, macros en todos los documentos personales de su objetivo, mientras existieran en la nube.

Este método es simplemente más fácil y rápido que ejecutar malware propiamente dicho, y no implica necesidad de romper la seguridad de la autenticación multifactor. Esto se consigue de facto gracias al diseño de este esquema de Phishing.

La respuesta de Microsoft

Brian Krebs ya alertó de este potencial foco de infección a comienzos de 2020. En aquel momento ya se dijo que las organizaciones contarían con ajustes de configuración para impedir que los usuarios instalasen aplicaciones ajenas.

Por otro lado, más recientemente Microsoft ha añadido una política de bloqueo que los administradores de Office 365 pueden usar a discreción. Dicha política impide que un usuario dé su consentimiento a instalar apps de O365 no firmadas digitalmente por un desarrollador autorizado por Microsoft.

Más información sobre este ajuste en Microsoft.

Además, recalcan desde Redmon que es igualmente importante haber habilitado los registros de seguridad, de tal forma que los administradores puedan trazar las autorizaciones no consentidas a software de terceros.