AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Nueva campaña de phishing utiliza vulnerabilidad en Microsoft 365 para eludir MFA y comprometer cuentas empresariales**

admin

### 1. Introducción

En las últimas semanas, investigadores de ciberseguridad han detectado una sofisticada campaña de phishing dirigida a organizaciones que utilizan Microsoft 365, explotando una vulnerabilidad recientemente documentada que permite a los atacantes eludir mecanismos de autenticación multifactor (MFA). Este vector de ataque plantea serias preocupaciones para los profesionales de seguridad, ya que compromete una de las capas de defensa consideradas más robustas en entornos corporativos. El incidente pone de manifiesto la necesidad urgente de revisar y fortalecer las estrategias de protección de acceso, especialmente ante la creciente sofisticación de ataques dirigidos a servicios cloud críticos.

### 2. Contexto del Incidente

El ecosistema de Microsoft 365, ampliamente adoptado por empresas de todos los tamaños, se ha convertido en un objetivo prioritario para los actores de amenazas. Según datos de Microsoft, más del 80% de los intentos de acceso no autorizados a cuentas corporativas en 2023 estuvieron relacionados con técnicas de phishing y explotación de credenciales. La actual campaña ha aprovechado una vulnerabilidad previamente subestimada en los flujos de OAuth y los tokens de acceso, lo que ha permitido a los atacantes evadir controles de MFA implementados por defecto en muchas organizaciones.

La explotación de esta vulnerabilidad se ha detectado principalmente en sectores financiero, legal y tecnológico, con un notable incremento del 35% en los intentos de intrusión durante el segundo trimestre de 2024.

### 3. Detalles Técnicos

El ataque se basa en la explotación del CVE-2024-35957, una vulnerabilidad relacionada con la gestión de tokens OAuth en Microsoft 365. Utilizando técnicas de spear phishing, los atacantes envían correos electrónicos que simulan ser notificaciones legítimas de Microsoft, solicitando a los usuarios iniciar sesión para revisar documentos compartidos.

Al hacer clic en el enlace, las víctimas son redirigidas a una página de autenticación falsa que solicita credenciales. Posteriormente, el atacante utiliza las credenciales para solicitar un token de acceso OAuth, aprovechando una incorrecta validación de parámetros por parte del servicio, lo que permite la obtención de un token válido sin requerir una segunda verificación MFA.

**TTPs identificadas (MITRE ATT&CK):**
– **T1566.001** (Phishing: Spearphishing Attachment)
– **T1078** (Valid Accounts)
– **T1110.001** (Brute Force: Password Guessing)
– **T1550.003** (Use Alternate Authentication Material: Web Session Cookie)

**Indicadores de Compromiso (IoC):**
– URLs de phishing con dominios typosquatting que imitan a Microsoft.
– Solicitudes de tokens OAuth desde direcciones IP fuera de la geolocalización habitual de la empresa.
– Uso de frameworks de automatización (p. ej., Evilginx2) para el proxy de credenciales y tokens.

### 4. Impacto y Riesgos

El impacto de esta vulnerabilidad es significativo, ya que permite a los atacantes el acceso persistente a buzones de correo, archivos en OneDrive y SharePoint, así como a aplicaciones integradas con Azure AD. Se han reportado incidentes con accesos no autorizados de hasta 21 días antes de ser detectados, facilitando la exfiltración de datos sensibles y la propagación lateral en la organización.

Según estimaciones de la consultora Ponemon, el coste medio de una brecha relacionada con credenciales comprometidas en entornos cloud supera los 4,35 millones de dólares, considerando sanciones RGPD y costes operativos. Además, una brecha de estas características puede derivar en sanciones adicionales bajo la Directiva NIS2 para infraestructuras críticas.

### 5. Medidas de Mitigación y Recomendaciones

Microsoft ha publicado actualizaciones de seguridad para subsanar el CVE-2024-35957. Se recomienda realizar las siguientes acciones de forma inmediata:

– Aplicar los parches de seguridad en todos los entornos Microsoft 365 y Azure AD.
– Habilitar políticas de acceso condicional que bloqueen solicitudes sospechosas y apliquen MFA reforzado, preferentemente mediante claves FIDO2.
– Monitorizar logs de acceso y uso de tokens OAuth con herramientas SIEM para la detección de actividades anómalas.
– Implementar soluciones de detección y respuesta gestionada (MDR) que permitan identificar el uso de herramientas como Evilginx2 y Cobalt Strike.
– Educar a los usuarios sobre las técnicas actuales de phishing y realizar simulaciones periódicas.

### 6. Opinión de Expertos

Analistas de Threat Intelligence de empresas como Palo Alto Networks y CrowdStrike han advertido que la explotación de flujos OAuth es una tendencia al alza, ya que permite esquivar los controles MFA tradicionales. Según María González, CISO de una consultora tecnológica española, “la confianza ciega en MFA, sin una monitorización contextual y políticas de acceso condicional, supone un riesgo real hoy en día. Es imprescindible evolucionar hacia modelos Zero Trust y segmentación dinámica”.

### 7. Implicaciones para Empresas y Usuarios

Las organizaciones deben asumir que las credenciales, incluso protegidas con MFA, pueden verse comprometidas. Es fundamental revisar la arquitectura de acceso y adoptar una aproximación basada en riesgos, priorizando la detección proactiva y la respuesta ante incidentes. Usuarios finales deben estar alerta ante cualquier solicitud de autenticación inesperada y reportar anomalías de inmediato.

El incidente también subraya la importancia de cumplir con los requisitos de la legislación vigente (RGPD, NIS2), ya que la tardanza en la notificación de brechas puede conllevar sanciones significativas y pérdida de confianza por parte de clientes y socios.

### 8. Conclusiones

La reciente campaña de phishing dirigida a Microsoft 365 demuestra que los atacantes continúan innovando y explotando debilidades en arquitecturas cloud. La protección efectiva requiere una combinación de tecnología actualizada, formación continua y un enfoque holístico de seguridad. La vigilancia proactiva y la respuesta coordinada son esenciales para mitigar los riesgos asociados a la exposición de credenciales y accesos indebidos en la era del trabajo híbrido y el uso masivo de servicios cloud.

(Fuente: www.darkreading.com)