Microsoft Office 365 es una suite basada en la nube que incluye varios productos de Microsoft y que está dirigida tanto para consumidores, pequeñas y medianas empresas, y también para grandes compañías. Este popular servicio se ha convertido en un blanco atractivo para los cibercriminales, quienes buscan obtener credenciales de acceso para realizar luego su actividad maliciosa. En el último tiempo, Office 365 se ha convertido en una de las marcas más utilizadas en campañas de suplantación de identidad. De hecho, en abril de este año la Agencia de Ciberseguridad e Infraestructura (CISA, por sus siglas en inglés) de Estados Unidos advertía que con la necesidad de implementar el teletrabajo por la pandemia las empresas deberían tomar las medidas necesarias para evitar ser víctimas de ataques dirigidos a esta plataforma.

Para acceder a una red Office 365, una de las vías más comunes que utilizan los actores maliciosos son los ataques de phishing y spearphishing para robar credenciales de acceso. Según el framework MITRE ATT&CK, también suelen buscar credenciales de acceso mediante el uso de técnicas de fuerza bruta, robo de Token de acceso de la víctima (generalmente utilizan ingeniería social ya que requieren la acción de la víctima), y robo de cookies de sesión web en aplicaciones web o servicios. Otra de las formas de hacerse con credenciales de acceso válidas es accediendo a credenciales que fueron almacenadas de forma insegura en una ubicación en particular o en alguna parte del sistema. 

En el caso de las cookies de sesión, las mismas pueden ser utilizadas por un atacante para acceder a aplicaciones web o servicios de Internet como usuario autenticado, sin necesidad de credenciales. Las aplicaciones web y los servicios suelen usar cookies de sesión como token de autenticación luego de que un usuario se autenticó en un sitio.

Dentro de lo que se conoce como ataques de fuerza bruta existe una técnica llamada password spraying que ha sido utilizada recientemente por grupos de APT en campañas que buscan recolectar cuentas de Office 365 y que han sido dirigidas, entre otros blancos, a organizaciones relacionadas a la política en Estados Unidos y Reino Unido. El objetivo en este caso era obtener credenciales válidas para realizar tareas de espionaje y moverse lateralmente a través de la red, aseguró Microsoft.

Otra campaña reciente dirigida a Office 365 y que buscaba robar nombres de usuario y contraseñas de cuentas corporativas de Microsoft Office 365 apuntaba a compañías de industrias como la hospitalaria, financiera, tecnológica, manufacturera, farmacéutica, petróleo y gas, y gubernamental. Según publicó ZDNet, investigadores de Menlo detectaron que esta campaña tenía la particularidad de utilizar captchas como parte de su estrategia de ingeniería social para generar un falso sentido de seguridad en las potenciales víctimas.

Ataques de ingeniería social dirigidos a cuentas de Office 365

Si bien las campañas de ingeniería social utilizadas por los cibercriminales para realizar ataques de phishing y spearphishing son dinámicas y cambian constantemente, describimos algunos ejemplos que hemos visto en el último tiempo:

  • Falsos correos notificando que hay un correo de voz nuevo sin abrir

Al acceder al enlace en el correo para abrir el supuesto mensaje de voz se abre una página falsa para ingresar las credenciales de acceso a Office 365. 

  • Correos que suplantan la identidad de Zoom

Mediante un correo se notifica, por ejemplo, la supuesta suspensión de la cuenta debido a un fallo de sincronización con el servidor y se solicita al usuario verificar su dirección haciendo clic en un enlace para poder utilizar la app.

  • Envío de documento compartido

Consiste en un ataque de phishing en el que llega a la víctima una notificación del envío de un documento compartido, por ejemplo un archivo Excel, y al querer abrirlo el usuario es dirigido a una falsa página de OneDrive para que ingrese sus claves de acceso.

  • Envío de falsos mensajes de Microsoft Teams

Utilizando diferentes excusas, los mensajes que se hacen pasar por notificaciones de Microsoft Teams suelen incluir enlaces que al hacer clic para responder dirigen a la víctima a una página de inicio de sesión falsa de Microsoft con el objetivo de que la víctima ingrese sus credenciales.

En mayo medios internacionales advertían sobre ataques de phishing en los que se hacían pasar por notificaciones de Teams con un enlace para acceder a un documento pero que requería que el usuario ingrese sus credenciales de inicio de sesión, mientras que la semana pasada se conocían detalles de una nueva campaña de phishing similar dirigida a más de 50.000 usuarios en la que una supuesta notificación automática informaba a las potenciales víctimas de un supuesto chat perdido a través de Teams.

  • Falsas notificaciones que indican que la casilla de correo está llena

Los atacantes envían estos falsos mensajes indicando que no pueden entrar nuevos correos por encontrarse la casilla llena y se ofrece la posibilidad de borrar los mensajes que no lograron entrar o descargarlos, y al hacer clic en la opción de descargar los usuarios caen en la trampa, ya que son dirigidos a una falsa página de inicio de sesión de Microsoft y así roban las credenciales.

Vale la pena tener en cuenta que, dado que Office 365 cuenta con una gran cantidad de herramientas, cada una puede ser utilizada como parte de una estrategia de ingeniería social nueva. Por otra parte, hay muchas aplicaciones por fuera de Microsoft, como es el caso de Zoom, que permiten integrar la herramienta a la cuenta de Outlook para realizar videoconferencias, y que tal como mencionamos, permite a los cibercriminales hacer uso de la herramienta como parte de su ingeniería social.

Qué puede hacer un atacante con las credenciales de Office 365

Dependiendo del tipo de credenciales que hayan obtenido, una vez dentro de la red de Office 365 los atacantes pueden recolectar, robar o destruir información, colocar malware, escalar privilegios dentro de la red, moverse lateralmente o establecer persistencia. Por otra parte, controlando una cuenta de Office 365 un atacante puede llevar adelante otro tipo de estafas, como las Business Email Compromise (BEC). A continuación, repasamos algunas de las actividades que pueden realizar los atacantes una vez que obtienen credenciales. 

Establecer persistencia

Dependiendo de los objetivos de los cibercriminales, una vez que obtienen credenciales para acceder al servicio en la nube pueden tratar de mantener persistencia a través de diferentes formas. Por ejemplo:

  • Manipulación de cuentas para evitar que cancelen su acceso. Es decir, cambio de credenciales o de los permisos de la cuenta.
  • Creación de nuevas cuentas para establecer un acceso secundario a través de credenciales.
  • El inicio de una aplicación de Office, como puede ser un archivo Word con macros maliciosas.
  • La obtención de credenciales válidas. 

Escalar privilegios

Con las credenciales válidas, un atacante puede intentar escalar privilegios en el sistema o red. Esto lo pueden hacer aprovechando debilidades, errores de configuración, vulnerabilidades, etc.

Realizar tareas de reconocimiento

También pueden implementar diferentes técnicas de reconocimiento para armar un inventario del entorno (software que utilizan, servicios en la nube que corren, configuraciones para grupos y permisos, listado de cuentas) y de esta manera conocer más a su víctima para luego evaluar cómo actuar.

Moverse lateralmente

También pueden utilizar técnicas para moverse lateralmente dentro de la red para acceder y/o controlar sistemas dentro de la misma.

Recolectar información o colocar malware

Una vez dentro de la red y mediante la implementación de diferentes estrategias y técnicas pueden desde recolectar datos e información que sea de interés para el atacante según su objetivo o cargar malware. Por ejemplo, pueden obtener información de repositorios compartidos en la nube (Sharepoint) o acceder a los correos.

Manipular, alterar o destruir datos o parte del sistema

Mediante el uso de ciertas técnicas que utilizan para estos fines pueden poner en riesgo las operaciones de un negocio al afectar la disponibilidad o comprometiendo su integridad, ya sea mediante la destrucción de la información o mediante un ransomware. Por otra parte, otra acción de impacto que podrían realizar los atacantes a partir de lograr poner un pie adentro de la red Office 365 es realizar un ataque de DoS. 

Qué medidas de seguridad se pueden implementar para proteger Office 365

Si bien existen soluciones de seguridad dirigidas a la nube, como ESET Cloud Office Security (ECOS), que brindan protección contra ataques de malware, spam y phishing, algunas recomendaciones que brindo la CISA son:

  • Habilitar la autenticación multifactor para cuentas de administrador
  • Asignar roles de administrador mediante el control de acceso basado en roles (RBAC)
  • Habilitar el registro de auditoría unificado (UAL)
  • Habilitar la autenticación multifactor para todos los usuarios
  • Deshabilitar la autenticación del protocolo heredado cuando corresponda
  • Habilitar alertas para actividad sospechosa
  • Incorporar Microsoft Secure Score
  • Integrar los registros con la herramienta SIEM que utilice

A continuación compartimos una infografía que resume los puntos más relevantes de artículo: