El FBI advirtió sobre un nuevo kit de phishing como servicio (PhaaS) dirigido a cuentas de Microsoft 365 en una campaña sofisticada pero de fácil acceso.
El servicio Kali365 PhaaS permite a los piratas informáticos obtener acceso persistente a entornos de Microsoft 365 robando tokens ‘OAuth’ mediante correos electrónicos de phishing generados por IA que dirigen a los usuarios a páginas legítimas de verificación de Microsoft.
Una vez que un atacante posee el token de OAuth, puede acceder a los servicios de Outlook, Teams y OneDrive sin completar ningún proceso adicional de verificación o autenticación.
Este tipo de campañas de phishing se basan en errores humanos para comprometer las cuentas, pero afortunadamente hay varios pasos que se pueden tomar para mantener seguras las cuentas y los entornos más grandes de Microsoft 365. Aquí hay tres formas en que las empresas pueden protegerse contra las promociones de Kali365 PhaaS:
1. Advertencias de phishing
Los correos electrónicos de phishing vienen en una variedad de formatos. Pueden ser invitaciones a entrevistas, solicitudes de acceso a documentos y todo lo demás. Los piratas informáticos están utilizando herramientas de inteligencia artificial para crear correos electrónicos de phishing muy convincentes que pueden pasar los filtros de detección de spam y mezclarse con el tráfico de correo electrónico habitual.
Los administradores de TI deben prestar atención a las últimas orientaciones proporcionadas por las fuentes de inteligencia sobre las tendencias de correo electrónico de phishing y las campañas en curso. Además, se puede capacitar al personal para detectar y denunciar correos electrónicos de phishing mediante simulaciones periódicas que imitan las técnicas, tácticas y procedimientos (TTP) del mundo real utilizados por los piratas informáticos.
Los usuarios también deben tener cuidado con las solicitudes inesperadas de autenticación de cuentas de Microsoft, especialmente cuando el usuario no ha intentado iniciar sesión.
2. Política de acceso condicional
El FBI recomienda habilitar políticas de acceso condicional que bloqueen el flujo de códigos de dispositivos para todos los usuarios. El bloqueo del flujo de código del dispositivo impide que funcione la interceptación del código nativo Kali365 OAuth.
En el flujo de trabajo del ataque Kali365, el hacker enviaría un código de dispositivo pregenerado desde su dispositivo junto con una página de verificación válida de Microsoft. La víctima escribe el código enviado por el atacante en la página de autenticación, lo que autoriza al atacante a iniciar sesión en la cuenta de la víctima. Luego, el atacante roba el token de actualización y acceso de OAuth para acceder a Outlook, Teams y OneDrive sin necesidad de contraseña ni autenticación.
Al bloquear este método de autenticación, incluso si una víctima lee el correo electrónico de phishing e ingresa el código, el inicio de sesión del atacante fallará.
Pero antes de implementar un bloqueo de flujo de código de dispositivo universal, asegúrese de auditar el uso existente para identificar dónde se utiliza legítimamente la autenticación de flujo de código de dispositivo. El bloqueo del uso legítimo puede interrumpir las operaciones diarias en algunas circunstancias.
3. Política de transferencia de autenticación de bloque
Para hacer la vida más fácil a los usuarios de 365, Microsoft ha incluido una opción que permite al usuario usar un dispositivo confiable para escanear un código QR que se muestra en un dispositivo separado para autenticar un inicio de sesión.
Sin embargo, esta práctica característica facilita a los atacantes autenticar sus propias credenciales en la cuenta de la víctima después de robar el token OAuth. Una vez que se le otorga acceso a la cuenta de la víctima, el atacante puede autenticar sus propias solicitudes de acceso a la cuenta utilizando su nuevo dispositivo “confiable”.
Al bloquear las políticas de migración de autenticación, no solo evita que los atacantes autentiquen sus propias sesiones, sino que también puede ayudar a evitar que los empleados inicien sesión en dispositivos personales no administrados que podrían poner en riesgo los datos de la empresa.
Orientación experta
Deborah Galea, experta en ciberseguridad de Filigran, comentó sobre el ataque Kali365:
“Las plataformas de phishing como servicio (PhaaS) como Kali 365 se están volviendo más comunes, convirtiendo la piratería en un negocio de suscripción altamente comercializado. Esto significa que los delincuentes ahora pueden usar estos kits listos para usar en lugar de construir infraestructura desde cero, lo que reduce significativamente la barrera de entrada”.
Kali365 es especialmente peligroso porque evita la autenticación multifactor (MFA) sin robar credenciales y permite a los piratas informáticos secuestrar cuentas de Microsoft 365.
“Kali365 es particularmente peligroso porque evita la autenticación multifactor (MFA) sin robar credenciales y permite a los piratas informáticos secuestrar cuentas de Microsoft 365. Recomendamos a las empresas implementar medidas preventivas como limitar el flujo de código del dispositivo, bloquear las transferencias de autenticación e implementar MFA resistente al phishing”.
Andrea Sivierio, directora de productos y tecnología de CoreView, comentó:
“La alerta del FBI sobre Kali365 confirma un patrón que hemos estado viendo en entornos empresariales de Microsoft 365 durante meses. Los atacantes ya no inician sesión en Microsoft 365, inician sesión utilizando características creadas por Microsoft para fines legítimos. El flujo de código de dispositivo existe por una buena razón: cómo hace que las cuentas de Smart TV e IoT sean más fáciles de atacar. Primitivo, porque el usuario es la persona que hace clic en ‘Aprobar’ en una página real de Microsoft que no lo protege de un flujo. donde el usuario hace el El propio MFA.”
La parte frustrante es que la principal recomendación del FBI, bloquear el flujo de código del dispositivo a través de políticas de acceso condicional, es algo que cualquier administrador de Microsoft 365 podría activar esta tarde.
“La parte frustrante es que la principal recomendación del FBI, bloquear el flujo de código del dispositivo a través de políticas de acceso condicional, es algo que cualquier administrador de Microsoft 365 puede implementar esta tarde. La razón por la que la mayoría de las organizaciones no lo hacen es por el inquilino del acceso condicional en el mundo real, la proliferación de políticas implementadas por veinte personas diferentes. En cinco años, nadie bloqueará con seguridad y nadie bloqueará la política. Los atacantes hacen negocios”.
“Aquí hay una gran lección para cualquier organización que gestione un negocio en Microsoft 365. La próxima infracción en una gran empresa no comenzará con un hacker que explote una vulnerabilidad. Comenzará con un empleado al que se le pedirá, muy cortésmente, que dé un paso legítimo dentro de un producto legítimo de Microsoft. La defensa no es una mejor tecnología, es un cambio en tiempo real y una auditabilidad en tiempo real. Políticas de seguridad que caducan silenciosamente”.
