Entre el 11 y 14 de julio de 2023 Microsoft entregó información sobre un error en su código fuente que permitió a los hackers falsificar tokens de Azure Active Directory, obteniendo acceso no autorizado al correo electrónico de unas 25 organizaciones.
Se presume que el responsable de esta violación es Storm-0558, un actor de amenazas con orientación a la inteligencia (espionaje) que se cree tiene sede en China.
¿Qué se sabe sobre Storm-0558?
Previo a este ataque no se conocía mucho sobre este actor, la mayor parte de información que se ha recopilado son especulaciones basadas en conducta, como su enfoque en atacar agencias gubernamentales como blanco preferido o su modalidad de espionaje.
Modalidad de ataque
Si bien se dio a conocer como un ataque en julio de 2023, cuando los clientes de Microsoft detectaron anomalías, un mes antes, el 16 de junio, ya se había detectado una actividad sospechosa, lo que indica que este actor ya llevaba un tiempo accediendo a información de cuentas de usuarios a través de la falsificación de tokens de autenticación sin llamar la atención.
Los tokens de autenticación son códigos alfanuméricos que almacenan los datos de inicio de sesión de los usuarios para evitar iniciar sesión permanentemente. Se guardan en la memoria del equipo o en las cookies del navegador.
Storm-0558 utilizó una clave adquirida para falsificar tokens de acceso a OWA (Outlook Web Access en Exchange Online) y Outlook.com, aprovechando un error de validación de tokens para hacerse pasar por usuarios de Azure AD y obtener acceso a las cuentas de correo electrónico de empresas.
Superficie de ataque y Microsoft
La mayoría de empresas utilizan Windows y sus servicios asociados como Outlook u Office, por lo que se vuelven un blanco frecuente para los atacantes cibernéticos, quienes cada vez se adaptan de forma más rápida para realizar sus intrusiones, además de estar generando nuevas metodologías para poder lograr sus objetivos y evadir las defensas más sofisticadas.
Frente a la crisis de confianza que esto genera tanto para las empresas clientes de Microsoft, como para los clientes de estas empresas, es necesario priorizar la inversión en ciberseguridad y mantener estrategias que resguarden a las organizaciones.
Prevención y mitigación
En este punto es vital tener una primera línea de defensa preparada, por lo que además de manejar un arsenal de herramientas de protección se debe priorizar el mantener a los colaboradores de cada organización preparados para identificar anomalías y evitar conductas poco seguras por falta de conocimiento.
Considerando que el 95% de los problemas de ciberseguridad tienen su origen en errores por falta de conocimiento, el principal método de prevención es lograr que los colaboradores comprendan los riesgos y posean conciencia de su rol en la seguridad a través de programas de concientización y capacitación que los lleve a operar bajo una conducta que aporte a la ciberdefensa.
Por otra parte, las empresas pueden frenar los ataques de fraude a su marca a través de la protección de la huella digital de todo lo que podría afectarles más allá del perímetro interno a través de la visibilidad, protección y prevención de ataques dirigidos, suplantación de identidad, marca o colaboradores, así como brindar información en tiempo real de filtración de datos.
¿Qué hacen nuestros Servicios Administrados por tu empresa?
Para nuestros clientes con Servicios Administrados, Widefense realiza las siguientes acciones frente a ataques:
- Protección proactiva: Nuestro equipo de Detección y Respuesta identifica y bloquea cualquier actividad maliciosa antes de que pueda causar daños.
- Respuesta rápida: Servicios Administrados genera una respuesta rápida y efectiva frente a ataques. Nuestros procesos de respuesta funcionan de forma inmediata para identificar y minimizar el impacto de la amenaza.
Fuentes
https://thehackernews.com/2023/07/microsoft-bug-allowed-hackers-to-breach.html
https://thehackernews.com/2023/07/us-government-agencies-emails.html
https://cibernota.com/storm-0558-ataque-contra-azure-ad
https://www.bleepingcomputer.com/tag/storm-0558/