Los piratas informáticos podrían aprovechar los errores del protocolo «intrínsecamente inseguro» implementado en servicios en la nube de uso generalizado. Los hackers consiguen infiltrarse en Microsoft 365 gracias a un bypass en los protocolos MFA. Las vulnerabilidades críticas en los protocolos de autenticación multifactor (MFA) basados en el estándar de seguridad WS-Trust pueden permitir a los ciberdelincuentes acceder a varias aplicaciones en la nube. Esto incluye varios servicios básicos de Microsoft.
Microsoft 365 es el servicio en la nube más notable en el que se pueden infiltrar de tal manera. Esto ocurre por cómo está diseñado el inicio de sesión en la plataforma, según Proofpoint. Los piratas serían capaces de obtener acceso completo a la cuenta de un objetivo. La información, incluidos los correos electrónicos, archivos, contactos y más sería vulnerable a un ataque de este tipo.
Esto se suma a la omisión de los MFA que otorgan acceso a una serie de servicios en la nube. Algunos de ellos son los entornos de producción y desarrollo como Microsoft Azure y Visual Studio.
Los hackers consiguen infiltrarse en Microsoft 365 gracias a un bypass en los protocolos MFA
El fallo radica en la implementación de la especificación WS-Trust. Se trata de un estándar OASIS que se utiliza para renovar y validar tokens de seguridad y establecer conexiones confiables. Los investigadores de Proofpoint afirman que WS-Trust es intrínsecamente inseguro y que los proveedores de identidad de Microsoft implementaron el estándar con una serie de errores.
Estas vulnerabilidades pueden explotarse para permitir que un atacante falsifique su dirección IP para evitar el MFA mediante una simple manipulación del encabezado de la solicitud, por ejemplo. Cambiar el encabezado del user-agent, en otro ejemplo, también puede hacer que el sistema identifique erróneamente el protocolo. Con esto, creerá que está utilizando «autenticación moderna».
«Lo más probable es que estas vulnerabilidades hayan existido durante años. Hemos probado varias soluciones de proveedores de identidad (IDP). Identificamos aquellas que eran susceptibles y resolvimos los problemas de seguridad«, dijo Proofpoint.
«Las vulnerabilidades requieren investigación, pero una vez descubiertas, pueden explotarse de forma automatizada. Son difíciles de detectar y es posible que ni siquiera aparezcan en los registros de eventos. No dejan rastros ni indicios de su actividad. Dado que la MFA como medida preventiva se puede eludir, necesitamos aplicar medidas de seguridad adicionales en forma de detección y corrección de compromisos de cuentas».
MFA se está convirtiendo en una capa de seguridad adicional esencial y ampliamente adoptada para reforzar los inicios de sesión con nombre de usuario y contraseña. Es por ello que los ciberdelincuentes se sienten más atraídos por identificar e implementar bypasses.
Esto es particularmente importante durante la crisis del coronavirus. Hemos cambiado masivamente al trabajo remoto desde casa. Esto significó que se accediera a aplicaciones y servicios críticos desde ubicaciones inseguras, con protocolos como MFA implementados para reforzar la ciber seguridad.