Office 365: cuando la amenaza es Microsoft Teams

Microsoft Teams
Microsoft Teams

Con relación a los recientes ataques de phishing que usan como gancho a Microsoft Teams y están dirigidos a usuarios de Office 365, te comparto la siguiente información.

A medida que las organizaciones adaptan o cambian sus capacidades de colaboración empresarial para cumplir con los requisitos de «teletrabajo», muchas organizaciones están migrando a Microsoft Office 365 (Office 365) y otros servicios de colaboración en la nube.

Debido a la velocidad de estas implementaciones, es posible que las organizaciones no estén considerando completamente las configuraciones de seguridad de estas plataformas.

Esta alerta es una actualización del Informe de análisis de mayo de 2019 de la Agencia de Seguridad de Infraestructura y Ciberseguridad, AR19-133A: Observaciones de seguridad de Microsoft Office 365 , y reitera las recomendaciones relacionadas con Office 365 para que las organizaciones revisen y se aseguren de que su entorno recién adoptado esté configurado para proteger, detectar , y responder en contra serían atacantes de Office 365.

Detalles técnicos

Desde octubre de 2018, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ha llevado a cabo varios compromisos con clientes que han migrado a soluciones de colaboración basadas en la nube como Office 365.

En las últimas semanas, las organizaciones se han visto obligadas a cambiar sus métodos de colaboración para respaldar una fuerza laboral completa de «trabajo desde casa».

Office 365 proporciona capacidades de correo electrónico basadas en la nube, así como capacidades de chat y video mediante Microsoft Teams.

Si bien el cambio abrupto al trabajo desde casa puede requerir la implementación rápida de servicios de colaboración en la nube, como Office 365, la implementación apresurada puede llevar a descuidos en las configuraciones de seguridad y socavar una sólida estrategia de seguridad específica de Office 365.

CISA continúa viendo casos en los que las entidades no están implementando las mejores prácticas de seguridad con respecto a su implementación de Office 365, lo que resulta en una mayor vulnerabilidad a los ataques de adversarios.

Mitigaciones

La siguiente lista contiene las configuraciones recomendadas al implementar Office 365:

Habilite la autenticación multifactor para cuentas de administrador:

Los administradores globales de Azure Active Directory (AD) en un entorno Office 365 tienen el nivel más alto de privilegios de administrador a nivel de inquilino. Esto es equivalente al Administrador de dominio en un entorno de AD local. Los administradores globales de Azure AD son las primeras cuentas que se crean para que los administradores puedan comenzar a configurar su inquilino y eventualmente migrar a sus usuarios. La autenticación multifactor (MFA) no está habilitada de forma predeterminada para estas cuentas. Microsoft se ha movido hacia un modelo «Seguro por defecto», pero incluso esto debe ser habilitado por el cliente. La nueva función, denominada «Valores predeterminados de seguridad», [1]ayuda a hacer cumplir el uso de MFA por parte de los administradores. Estas cuentas son accesibles a través de Internet porque están alojadas en la nube. Si no se protege de inmediato, un atacante puede poner en peligro estas cuentas basadas en la nube y mantener la persistencia mientras un cliente migra usuarios a O365.

Asignar roles de administrador mediante el control de acceso basado en roles (RBAC):

Dado su alto nivel de privilegio predeterminado, solo debe usar la cuenta de administrador global cuando sea absolutamente necesario. En su lugar, el uso de otros numerosos roles de administrador integrados de Azure AD en lugar de la cuenta de administrador global puede limitar la asignación de privilegios excesivamente permisivos a administradores legítimos. [2]

La práctica del principio de «privilegios mínimos» puede reducir en gran medida el impacto si una cuenta de administrador se ve comprometida. [3] Siempre asigne a los administradores solo los permisos mínimos que necesitan para realizar sus tareas.

Habilitar el registro de auditoría unificado (UAL):

Office 365 tiene una capacidad de registro llamada Registro de auditoría unificado que contiene eventos de Exchange Online, SharePoint Online, OneDrive, Azure AD, Microsoft Teams, PowerBI y otros servicios de O365. [4] Un administrador debe habilitar el Registro de auditoría unificado en el Centro de seguridad y cumplimiento antes de que se puedan ejecutar las consultas. Habilitar UAL permite a los administradores la capacidad de investigar y buscar acciones dentro de O365 que podrían ser potencialmente maliciosas o no dentro de la política de la organización.

Habilite la autenticación multifactor para todos los usuarios:

aunque los usuarios normales en un entorno O365 no tienen permisos elevados, aún tienen acceso a datos que podrían ser dañinos para una organización si acceden a ellos por una entidad no autorizada. Además, los actores de amenazas comprometen las cuentas de los usuarios normales para enviar correos electrónicos de phishing y atacar a otras organizaciones que utilizan las aplicaciones y los servicios a los que tiene acceso el usuario comprometido.

Deshabilite la autenticación del protocolo heredado cuando corresponda: 

Azure AD es el método de autenticación que usa Office 365 para autenticarse con Exchange Online, que proporciona servicios de correo electrónico. Hay varios protocolos heredados asociados con Exchange Online que no son compatibles con las características de MFA. Estos protocolos incluyen el Protocolo de oficina postal (POP3), el Protocolo de acceso a mensajes de Internet (IMAP) y el Protocolo simple de transporte de correo (SMTP). Los protocolos heredados se utilizan a menudo con clientes de correo electrónico más antiguos, que no admiten la autenticación moderna. Los protocolos heredados se pueden deshabilitar a nivel de inquilino o de usuario. Sin embargo, si una organización requiere clientes de correo electrónico más antiguos como una necesidad comercial, estos protocolos probablemente no se deshabilitarán.

Esto deja las cuentas de correo electrónico accesibles a través de Internet con solo el nombre de usuario y la contraseña como método de autenticación principal.

Un enfoque para mitigar este problema es hacer un inventario de los usuarios que aún requieren el uso de un cliente de correo electrónico heredado y protocolos de correo electrónico heredados y solo otorgar acceso a esos protocolos a esos usuarios seleccionados.

El uso de directivas de acceso condicional de Azure AD puede ayudar a limitar la cantidad de usuarios que tienen la capacidad de usar métodos de autenticación de protocolo heredados. Dar este paso reducirá en gran medida la superficie de ataque de una organización.[5]

Habilitar alertas para actividad sospechosa:

Habilitar el registro de actividad dentro de un entorno Azure / 0365 puede aumentar en gran medida la efectividad del propietario para identificar la actividad maliciosa que ocurre en su entorno y habilitar alertas servirá para mejorar eso. La creación y habilitación de alertas dentro del Centro de seguridad y cumplimiento para notificar a los administradores sobre eventos anormales reducirá el tiempo necesario para identificar y mitigar eficazmente la actividad maliciosa. [6] Como mínimo, CISA recomienda habilitar alertas para inicios de sesión desde ubicaciones sospechosas y para cuentas que exceden los umbrales de correo electrónico enviado.

Incorporar Microsoft Secure Score:

Microsoft proporciona una herramienta integrada para medir la postura de seguridad de una organización con respecto a sus servicios O365 y ofrecer recomendaciones de mejora. [7]

 

kaspersky        Acceda a la mejor      seguridad

Estas recomendaciones proporcionadas por Microsoft Secure Score NO abarcan todas las configuraciones de seguridad posibles, pero las organizaciones deben considerar el uso de Microsoft Secure Score porque las ofertas de servicios de O365 cambian con frecuencia. El uso de Microsoft Secure Score ayudará a proporcionar a las organizaciones un panel centralizado para rastrear y priorizar los cambios de seguridad y cumplimiento dentro de O365.

Integre los registros con su herramienta SIEM existente:

Incluso con un registro sólido habilitado a través de la UAL, es fundamental integrar y correlacionar sus registros de O365 con sus otras soluciones de administración y monitoreo de registros. Esto garantizará que pueda detectar actividad anómala en su entorno y correlacionarla con cualquier actividad anómala potencial en Office 365. [8]

Resumen de la solución

CISA anima a las organizaciones a implementar una estrategia organizacional en la nube para proteger sus activos de infraestructura al defenderse de los ataques relacionados con su transición de O365 y asegurar mejor los servicios de O365. [9] Específicamente, CISA recomienda que los administradores implementen las siguientes mitigaciones y mejores prácticas:

  • Utilice la autenticación multifactor. Esta es la mejor técnica de mitigación para proteger contra el robo de credenciales para los administradores y usuarios de Office 365.
  • Proteja a los administradores globales de cualquier compromiso y utilice el principio de «privilegios mínimos».
  • Habilite el registro de auditoría unificado en el Centro de seguridad y cumplimiento.
  • Habilite las capacidades de alerta.
  • Integre con soluciones SIEM organizacionales.
  • Desactive los protocolos de correo electrónico heredados, si no es necesario, o limite su uso a usuarios específicos.

Declaración de Roberto Martínez, analista senior de seguridad en Kaspersky:

“Debido al creciente uso mensajería instantánea a través de aplicaciones, los cibercriminales se han visto motivados a dirigir ataques de ingeniería social a los trabajadores que están realizando sus actividades desde casa, ya que almacenan una gran cantidad de información corporativa en sus equipos. Nuestra recomendación es que los usuarios estén alertas de esta situación, no compartan datos de acceso y notifiquen inmediatamente al área de sistemas de su empresa si consideran que sus dispositivos pudieran estar en riesgo”.

Para identificar esta amenaza de manera rápida es importante revisar el asunto del mail, el cual dice que “Hay nueva actividad en Teams”.

Aunado a esto, en el cuerpo del correo asociado a esta campaña avisa al usuario que tienen mensajes no leídos en algunos chats de Microsoft Teams y muestra el supuesto mensaje.

Para responderlos, se pide dar “clic” en el botón de “Contestar en Teams”; sin embargo este botón dirige a una página donde se pide ingresar el nombre usuario y contraseña, pero en realidad estos datos terminan siendo robados por agentes maliciosos.

El phishing es una campaña en la que se envían correos electrónicos de spam u otras formas de comunicación en masa con la intención de engañar a los destinatarios para que realicen alguna función o compartan información que puede poner en peligro su seguridad o la de la organización para la que trabajan.

Cabe señalar que este tipo de mensajes suelen contener archivos adjuntos, enlaces a sitios infectados o bien, solicitar al usuario que responda con información confidencial.

 

 

Por Marcelo Lozano – General Publisher IT Connect Latam

Lea más contenido

IBM y R3 unen fuerzas en blockchain sobre nube híbrida

MontysThree: Kaspersky descubre 1 set de espionaje

Finfisher tuvo 1 redada policial por espionaje en Munich

Mundo Sustentable: necesita de una economía circular en 2020

IBM avanza Cloud Pak for Security para administrar amenazas 2020

 

85 / 100