Piratas informáticos que utilizan aplicaciones OAuth para comprometer los servidores de Exchange

Contenido

El 22 de septiembre de 2022, Microsoft, a través de una publicación de blog, advirtió a los clientes de Exchange Server que los atacantes están implementando aplicaciones OAuth maliciosas en inquilinos de la nube comprometidos que alojan Exchange Online para obtener el control de sus Exchange Servers.

¿Qué es OAuth?

Open Authentication u OAuth es un estándar abierto para un protocolo de autorización. Es un marco que proporciona aplicaciones para permitir de forma segura el acceso designado. Las aplicaciones web suelen utilizar el protocolo para crear cuentas de usuario y acceder a servicios sin tener que registrarse, para contraseñas o verificación de correo electrónico. Utiliza tokens para probar su identidad. Por ejemplo, cuando se registra para un complemento o una aplicación usando su Office 365 a través de OAuth, las aplicaciones pueden acceder a su perfil de forma segura.

¿Cómo aprovechan los atacantes OAuth?

Los actores de amenazas han lanzado ataques de relleno de credenciales contra cuentas de alto riesgo o cuentas con contraseñas débiles/reutilizadas que no tienen habilitada la autenticación multifactor (MFA) o de dos factores (2FA). Están aprovechando las cuentas de administrador no seguras para obtener acceso inicial a los inquilinos de la nube.

Una vez que el atacante tiene acceso no autorizado a su organización en la nube, registra una aplicación OAuth maliciosa con permisos elevados para abusar de los servicios de correo electrónico en la nube de Microsoft y propagar spam. Modifican la configuración del servidor de Exchange para permitir correos electrónicos no vinculados de direcciones IP específicas y los enrutan a través del servidor comprometido para que parezcan legítimos para los ataques de phishing.

Campaña de correo electrónico no deseado

“Los correos no deseados para ataques de phishing se envían como parte de un esquema de sorteo engañoso destinado a engañar al destinatario para que se registre en suscripciones pagas recurrentes”, declaró Microsoft. El correo electrónico insta al destinatario a hacer clic en el enlace para obtener su premio, pero luego redirige a la víctima a la página de destino donde se le pide que ingrese los detalles de su tarjeta de crédito por una pequeña tarifa de envío para cobrar la recompensa.

Detección de evasión

Los atacantes están utilizando varias técnicas para evadir la detección, incluida la espera de semanas o meses antes de usar su aplicación OAuth maliciosa después de la configuración. También eliminan cualquier modificación realizada en Exchange Server una vez que finalizan sus breves campañas de spam, sin dejar rastros.

La división de inteligencia de amenazas de Microsoft ha dicho que los atacantes han estado ejecutando activamente estas breves ráfagas de campañas de correo electrónico no deseado durante los últimos años. Si bien los ataques iniciales tenían como objetivo atraer a los usuarios consumidores, los atacantes ahora se dirigen a los inquilinos empresariales y usan su infraestructura para sus campañas maliciosas. Esto ha expuesto las debilidades que permiten a los atacantes comprometer a los inquilinos de la nube y ha planteado algunos problemas de seguridad.

¿Cómo proteger los servidores de Exchange?

Para proteger su Exchange Server de OAuth y reducir la superficie de ataque, Microsoft recomienda asegurar la identidad de su infraestructura. Para salvaguardar su infraestructura,

  • Implementar la autenticación de múltiples factores.
  • Habilite las políticas de acceso condicional y la evaluación de acceso continuo (CAE) en Azure Active Directory (AD).
  • Usa contraseñas complejas.
  • Habilitar sincronización de hash de contraseña (PHS).
  • Bloquear la autenticación heredada.
  • Revisar admin papeles

Pensamientos finales

No es la primera vez que los atacantes apuntan a Microsoft Exchange Server y seguramente no será la última. Pero esta vez, comprometieron con éxito a los inquilinos de la nube, lo que generó preocupaciones sobre la seguridad de O365. Para evitar este tipo de ataques y proteger su organización de Exchange, debe seguir las mejores prácticas para proteger sus servidores de Exchange . Si su organización ejecuta servidores locales, mantenga los servidores, el sistema operativo y las aplicaciones actualizados a la última versión estable, ya que los atacantes a menudo se dirigen a servidores sin parches. Puede consultar nuestras guías detalladas sobre cómo instalar y parchear servidores Exchange con las últimas actualizaciones acumulativas y de seguridad.

En caso de que su servidor se rompa debido a o después de un ataque malicioso, desactive inmediatamente el servidor y desconéctese de su red. Además, implemente un nuevo servidor y restaure los datos desde la copia de seguridad. No utilice el servidor comprometido en un entorno de producción. Podría haber puertas traseras instaladas que los actores de amenazas pueden usar más tarde para robar sus datos comerciales o comprometer su organización de Exchange.

Si la copia de seguridad no está disponible, es obsoleta o no puede restaurar los buzones, utilice Stellar Repair for Exchange. El software puede ayudarlo a extraer buzones de correo de las bases de datos en el servidor comprometido y exportarlos directamente a su nuevo servidor con total integridad. Si planea cambiar a Office 365, el software puede ayudar a exportar todos los buzones directamente a Office 365 inquilino.

Related Posts