- Un ataque de pulverización de contraseñas ha comprometido con éxito las cuentas de Microsoft 365
- Los piratas informáticos han abusado de políticas de acceso condicional configuradas incorrectamente para eludir MFA
- Muchas de las instituciones objetivo no han implementado AMF
Los piratas informáticos utilizaron credenciales previamente filtradas para atacar cuentas de Microsoft 365 en un ataque de pulverización de contraseñas que resultó en más de 81 millones de intentos de inicio de sesión durante un período de dos semanas.
Luego, los atacantes utilizan la interfaz de línea de comandos (CLI) de Azure para explotar las políticas de acceso condicional implementadas incorrectamente dentro del método OAuth de la credencial de contraseña del propietario del recurso (ROPC), lo que permite a los piratas informáticos eludir por completo la autenticación cuando se descubre un nombre de usuario y una contraseña coincidentes.
La empresa de ciberseguridad Huntress supervisó la campaña de ataque dirigida a los clientes y observó que 78 cuentas de Microsoft en 64 organizaciones se vieron comprometidas entre el 12 y el 26 de junio de 2026.
Los piratas informáticos acceden a cuentas 365 sin autenticación
En última instancia, el éxito del ataque se redujo a qué tan bien las organizaciones implementaron políticas de acceso condicional relacionadas con la autenticación multifactor.
“Muchas empresas comprometidas implementaron autenticación multifactor (MFA) a través de una Política de acceso condicional (CAP), pero MFA no estaba configurada para cubrir este flujo particular que utilizaron los atacantes”, explicó Huntress, refiriéndose al exploit de ROPC.
“ROPC se considera problemático por varias razones, pero una de ellas es que no admite flujos de autenticación modernos como MFA o SSO. Esto significa, como vimos en esta campaña, ROPC envía contraseñas directamente al punto final /token sin ningún mensaje interactivo de MFA”.
Varias de las organizaciones violadas no implementaron ninguna política de MFA, mientras que otras solo implementaron MFA para ciertos grupos de usuarios, como los administradores. En otros casos, un intento de inicio de sesión solo requiere MFA cuando el tráfico proviene de una ubicación que no es confiable, lo que significa que MFA no se aplica si la conexión proviene de una dirección IP confiable. Además, algunas organizaciones implementaron MFA solo en modo de informe, lo que significa que las políticas de MFA en realidad no se implementaron.
Para protegerse contra el embate de tales ataques, Huntress recomendó las siguientes mitigaciones:
- Las organizaciones deben implementar MFA para todos los usuarios, todas las aplicaciones en la nube y todos los tipos de aplicaciones cliente.
- La aplicación Azure CLI debe estar restringida para que no la utilicen usuarios que no sean administradores
- La respuesta a los ataques debe basarse en la validez de las credenciales y no en el volumen de pulverización.
a través de Computadora pitando
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.