- Investigadores de Microsoft advierten que Storm-2949 está abusando de los flujos de autoservicio de restablecimiento de contraseña para secuestrar cuentas
- Los atacantes engañan a las víctimas para que acepten las indicaciones de MFA mediante llamadas telefónicas, luego restablecen las contraseñas y extraen datos confidenciales.
- La campaña está dirigida a entornos Microsoft 365 y Azure, y Microsoft pide controles RBAC más estrictos y monitoreo de actividades de alto riesgo.
Un grupo de hackers conocido como Storm-2949 está abusando de la función de restablecimiento de contraseña en los servicios de Microsoft para robar las credenciales de inicio de sesión de las personas, acceder a sus cuentas y eliminar la mayor cantidad de datos confidenciales posible.
Un nuevo informe publicado por el equipo de investigación de seguridad de Microsoft Defender afirma que el flujo de restablecimiento de contraseña de autoservicio (SSPR) que se encuentra en el ecosistema de Microsoft está en el centro de esta campaña.
Normalmente, cuando un empleado olvida sus credenciales y hace clic en el botón “Olvidé mi contraseña”, Microsoft envía un mensaje de MFA a su dispositivo secundario registrado. Cuando el empleado lo aprueba, se le permite establecer una nueva contraseña a través del mismo dispositivo que inició el proceso en primer lugar.
como proteger
Storm-2949 estaba abusando de él en ataques muy dirigidos. Primero, identificarán su objetivo, obtendrán su número de teléfono y el correo electrónico utilizado para iniciar sesión en los servicios de Microsoft. Luego, iniciarán el proceso de restablecimiento de contraseña y simultáneamente llamarán a las víctimas por teléfono.
Se presentarán como técnicos de TI y convencerán a las víctimas para que aprueben el mensaje de MFA, lo que les permitirá generar una nueva contraseña.
El siguiente paso es expulsar a la víctima de la cuenta y extraer la mayor cantidad de información posible.
El equipo de Microsoft Threat Intelligence describió la campaña como “sistemática, sofisticada y de múltiples capas” dirigida a aplicaciones de Microsoft 365, servicios de alojamiento de archivos y entornos de producción alojados en Azure.
“En un caso, Storm-2949 utilizó la interfaz web OneDrive para descargar miles de archivos en una sola acción a su propia infraestructura”, dijo Microsoft. “Este patrón de robo de datos se repitió en todas las cuentas de usuario comprometidas, probablemente porque diferentes identidades tenían acceso a diferentes carpetas y directorios compartidos”.
Para protegerse contra esta campaña, Microsoft recomienda a los usuarios limitar los permisos de Azure RBAC, conservar los registros de Azure Key Vault durante un año, reducir el acceso a Key Vault y restringir el acceso público a Key Vaults. Recomienda utilizar opciones de protección de datos en el almacenamiento de Azure y monitorear las actividades de administración de Azure de alto riesgo.
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.
