Microsoft advirtió recientemente que los atacantes se están haciendo pasar por los servicios de asistencia técnica de TI en Teams para obtener acceso, y si eso suena mal, es solo el comienzo.
El ataque comenzó cuando un empleado recibió un mensaje de un usuario externo que decía ser parte del soporte de TI externo de la empresa. Una configuración bastante simple y el tipo de cosas que esperarías en un día de trabajo típico.
Quizás el empleado esté esperando un mensaje similar para un ticket pendiente, por lo que interactúa con el usuario y, cuando se le solicita, le otorga acceso remoto.
Director de Producto y Tecnología de CoreView.
Una vez que los atacantes tienen ese punto de apoyo, pueden avanzar y ejecutar un bloqueo total de inquilinos utilizando sólo las características legítimas de Microsoft, en lugar de implementar ransomware tradicional. No parecerá malware y eso significa que las defensas tradicionales no lo detectarán.
Un chat en tiempo real en una herramienta de colaboración autorizada, con una excusa razonable de soporte de TI, es difícil de identificar a los empleados ocupados. Para los piratas informáticos, esta es una forma sencilla de obtener acceso a datos confidenciales y privilegiados.
Todo lo que necesitan son unos pocos clics autorizados por el usuario y tienen acceso a soporte rápido, persistencia del registro, movimiento lateral entre entornos de víctimas y exfiltración de datos definitiva a través de HTTPS. Todo sin despertar sospechas.
El robo de datos es sólo el primer paso. Una vez que los atacantes obtienen acceso a través de este tipo de ingeniería social, el mismo titular abre la puerta a toda una situación de rescate mercenario. Los atacantes pueden cifrar contenido de OneDrive y SharePoint a escala, secuestrando cuentas de administrador globales y políticas de acceso condicional para bloquear a los administradores legítimos fuera de los inquilinos.
Pueden secuestrar funciones nativas de M365, como etiquetas de confidencialidad, para hacer que los datos sean accesibles.
Izar por su propio petardo
Los responsables de la toma de decisiones de TI pueden creer que están cubiertos contra este tipo de robo o bloqueo porque cuentan con protección contra ransomware, pero la realidad es que muchos están más expuestos de lo que creen.
Esta clase de ataque es efectivamente invisible para el software de seguridad de endpoints estándar, porque el cifrado que bloquea el acceso de las empresas a sus datos críticos se realiza mediante funciones propias de Microsoft, no mediante códigos maliciosos.
Espera, podrías decir: en este caso, ¿no es esta una solución fácil? ¿No debería simplemente iniciar sesión manualmente y descifrar los datos? Desafortunadamente, la solución no es nada sencilla. Recuperarse de una adquisición total por parte de un inquilino puede llevar semanas y, a menudo, requiere la intervención directa de Microsoft.
Durante ese tiempo, es probable que las operaciones comerciales críticas se vean interrumpidas o incluso detenidas por completo, lo que resultará en pérdidas financieras y de reputación potencialmente grandes.
En general, Microsoft Teams ayuda con los ataques de suplantación de escritorio porque brinda a las organizaciones confiables sistemas como Microsoft 365. Este nivel de confianza, a menudo ciega, pone a las organizaciones en riesgo, ya que los controles locales de M365 se crearon para la administración, no para la resistencia a la ingeniería social en tiempo real.
Creando seguridad 360 para 365
Obviamente, los riesgos resultantes de tales ataques de ingeniería social son significativos. Esto pone de relieve que Microsoft 365 se ha convertido en una infraestructura crítica que exige no solo herramientas de administración, sino también un plano de control operativo dedicado. Las empresas no pueden simplemente conectarse, funcionar y marcharse, esperando que el sistema se proteja a sí mismo. Necesitan tener un nivel profundo de conocimiento de lo que sucede con su inquilino, quién tiene acceso y si está sucediendo algo inusual o sospechoso.
Como resultado, las asignaciones de roles privilegiados, la variación de la configuración y la visibilidad de la actividad administrativa en tiempo real ya no son opcionales. Ésta es la diferencia entre un evento de celebración y un evento de parada de negocios.
Las organizaciones necesitan una capa operativa que proporcione visibilidad continua a través de miles de atributos de configuración y siga un protocolo de administración con privilegios mínimos. Detectar cambios de configuración, cambios de privilegios y actividades inusuales solo es posible cuando se sabe cómo es lo “normal”, y eso requiere años de telemetría en inquilinos complejos del mundo real.
Este enfoque puede ayudar a desarrollar la resiliencia de los inquilinos dentro de un entorno de Microsoft 365, reducir el daño que puede causar un solo desliz humano y proteger rápidamente el acceso malicioso después de una infracción.
Otra consideración clave es la introducción de tecnologías de próxima generación para mejorar la inteligencia, la velocidad y la agilidad defensivas. Una capa operativa habilitada para IA puede detectar desviaciones inusuales en la configuración y cambios de privilegios a medida que ocurren, no en la revisión de registros días después.
Al aprovechar el contexto propietario del inquilino (permisos, asignaciones de roles, historial de configuración y líneas de base de comportamiento creadas a partir de millones de eventos del mundo real), la IA puede mostrar actividad maliciosa que las herramientas genéricas pasarían por alto por completo.
En tales casos, una respuesta rápida es crucial. Cuanto más rápido se alerte a los reguladores sobre el peligro y cuanto más rápido se revoque el acceso a un usuario sospechoso, es menos probable que se produzca una violación de datos o un bloqueo.
En esencia, Team Attack explota el riesgo de ciberseguridad más antiguo del libro: el error humano. La fuerza laboral de ninguna organización es infalible, lo que significa que se necesita apoyo defensivo adicional para proteger la integridad de los inquilinos críticos de M365.
En realidad, agregar una capa de control sólida e inteligente es la única forma en que las empresas pueden evitar que una única sesión remota autorizada se convierta en un compromiso para todo el dominio.
Contamos con las mejores herramientas de documentación de Active Directory.
Este artículo fue producido en parte Perspectiva profesional de TechRadarNuestro canal para mostrar las mejores y más brillantes mentes de la industria tecnológica actual.
Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí:
