Más

    Los hackers de SolarWinds atacan a Malwarebytes a través de un exploit de Microsoft

    Una vez más, los piratas atacan de nuevo. Los hackers de SolarWinds atacan a Malwarebytes a través de un exploit de Microsoft. Accedieron a los correos electrónicos de la empresa después de abusar de un producto de protección de correo electrónico. Éste estaba inactivo dentro de Office 365.

    Malwarebytes ha dicho que la misma banda cibernética respaldada por el estado que atacó a SolarWinds en diciembre pudo acceder a correos electrónicos internos usando un exploit de Microsoft 365.

    Los piratas informáticos obtuvieron acceso limitado a los correos electrónicos internos de Malwarebytes. Según el CEO Marcin Kleczynski, fue al abusar de las aplicaciones con acceso privilegiado a los entornos de Microsoft 365 y Azure.

    Los hackers de SolarWinds atacan a Malwarebytes a través de un exploit de Microsoft

    La empresa de seguridad se dio cuenta de la amenaza por primera vez después de que el Centro de Respuesta de Seguridad de Microsoft (MSRC) descubriese una actividad inusual en una aplicación de terceros dentro de la suite Microsoft 365. Microsoft habría estado examinando sus sistemas Office 365 y Azure en busca de signos de compromisos en su momento. Esto ocurrió a la vez que los detalles del ataque de SolarWinds también comenzaban a surgir.

    Los atacantes demostraron técnicas y procedimientos similares a los utilizados en el ataque a SolarWinds. En este caso, sin embargo, abusaron de un producto de protección de correo electrónico inactivo dentro del cliente de Office 365 de empresa. Esto otorgó a los atacantes acceso a un subconjunto limitado de correos electrónicos internos.

    Sin embargo, los atacantes no pudieron acceder ni comprometer el código fuente de Malwarebytes. La compañía ha declarado que sus productos eran seguros de usar en todo momento.

    Los hackers de SolarWinds atacan a Malwarebytes a través de un exploit de Microsoft

    “Si bien Malwarebytes no usa SolarWinds, nosotros, como muchas otras compañías, fuimos recientemente atacados por el mismo actor de amenazas”.

    “Después de una extensa investigación, determinamos que el atacante solo obtuvo acceso a un subconjunto limitado de correos electrónicos internos de la empresa. No encontramos evidencia de acceso no autorizado o compromiso en ninguno de nuestros entornos internos de producción y en las instalaciones”.

    Un ataque que trae (y traerá) cola

    El mecanismo del exploit específico se basa en un fallo de Azure Active Directory descubierto en 2019. El investigador de Fox-IT, Dirk-jan Mollema demostró que podía aprovecharse para escalar privilegios mediante la asignación de credenciales a las aplicaciones.

    Un informe de principios de enero publicado por la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. también reveló cómo los atacantes pueden haber obtenido acceso a las aplicaciones de Microsoft 365 mediante la propagación de contraseñas. Además, claro, de explotar las credenciales administrativas.

    En el ataque de Malwarebytes, los piratas agregaron un certificado autofirmado con credenciales a la cuenta principal del servicio. A partir de ahí, pudieron autenticarse usando la clave y hacer llamadas a la API para solicitar correos electrónicos a través de MSGraph.

    La brecha de SolarWinds fue sin duda uno de los incidentes de seguridad más importantes del año pasado y tiene implicaciones de gran alcance para la industria. Desde que acabo el año, se ha revelado que los atacantes accedieron al código fuente de Microsoft en la violación. Incluso que habían violado por primera vez los sistemas de SolarWinds en septiembre de 2019.

    Comentarios

    En breve activaremos los comentarios.

    Relacionados

    Más leídos

    Se habla de..

    Artículos relacionados

    p