AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Microsoft investiga un fallo en Exchange Online que pone en cuarentena correos legítimos por phishing**

admin

### Introducción

En los últimos días, diversos equipos de seguridad y administradores de sistemas han reportado una anomalía significativa en el servicio Exchange Online de Microsoft 365: el sistema está identificando y marcando como phishing correos electrónicos legítimos, trasladándolos automáticamente a cuarentena. Esta situación ha generado una oleada de incidencias en empresas de todo el mundo, afectando tanto a la operativa interna como a la comunicación con clientes y socios. Microsoft ha confirmado la investigación del incidente, que pone de manifiesto los desafíos inherentes a la gestión de reglas automatizadas en plataformas de correo electrónico cloud.

### Contexto del Incidente

El incidente fue detectado el 4 de junio de 2024, cuando numerosos administradores de Exchange Online comenzaron a notar un inusual volumen de correos correctamente autenticados que, sin motivo aparente, estaban siendo clasificados como amenazas de phishing y enviados a cuarentena. La afectación es global, con especial incidencia en clientes empresariales suscritos a los planes de Microsoft 365 y Office 365 que dependen del filtrado antiphishing por defecto de Exchange Online Protection (EOP) y Microsoft Defender for Office 365.

A raíz de los primeros reportes, Microsoft ha publicado el incidente bajo el identificador EX680695 en el portal de administración, indicando que se encuentran investigando el origen del problema y trabajando en su resolución.

### Detalles Técnicos

El comportamiento anómalo parece estar relacionado con una actualización reciente de las reglas heurísticas y de machine learning de los motores antiphishing de Exchange Online. En concreto, los mensajes autenticados mediante SPF, DKIM y DMARC, provenientes de remitentes legítimos, están siendo falsamente positivos por las siguientes razones:

– **Reglas de detección heurística reforzada**: Modificaciones recientes en los algoritmos de scoring que evalúan patrones de contenido, encabezados y enlaces.
– **Desajustes en firmas digitales**: En algunos casos, ligeras modificaciones en los encabezados de tránsito hacen que el sistema valore los mensajes como manipulados, pese a superar las validaciones DKIM/DMARC.
– **Actualización de reglas YARA o firmas antimalware**: Posible conflicto con nuevas firmas o feeds de inteligencia de amenazas integrados en la plataforma.

El incidente no está vinculado a ninguna vulnerabilidad de seguridad catalogada (CVE) conocida, pero el vector de ataque afectado es el correo electrónico, específicamente el flujo de entrada gestionado por Exchange Online Protection (EOP). No se han detectado exploits públicos ni campañas activas que se beneficien de esta situación, aunque el TTP más cercano en el framework MITRE ATT&CK sería «Phishing: Spearphishing Attachment» (ID: T1566.001), aunque en este caso la amenaza es un falso positivo.

Entre los indicadores de compromiso (IoC) más relevantes, se encuentran los siguientes patrones:

– Correos legítimos en cuarentena con clasificación: «Phish»
– Ausencia de enlaces maliciosos o archivos adjuntos en los mensajes afectados
– Dominios y remitentes previamente validados en listas blancas corporativas

### Impacto y Riesgos

El principal riesgo reside en la interrupción de la comunicación empresarial, especialmente en sectores críticos como finanzas, legal y sanidad, donde la entrega oportuna de información es crucial. Se estima que hasta el 3% del tráfico de correo diario en empresas medianas ha sido afectado, según datos preliminares de analistas SOC. Esta cifra puede traducirse en miles de correos relevantes bloqueados diariamente.

Desde el punto de vista de cumplimiento normativo, la situación puede suponer un incumplimiento indirecto de la GDPR (artículo 5, integridad y disponibilidad de datos) y la NIS2, al comprometer la disponibilidad y fluidez de las comunicaciones electrónicas.

### Medidas de Mitigación y Recomendaciones

Microsoft recomienda a los administradores revisar la cuarentena de Exchange Online desde el Security & Compliance Center, liberando manualmente los mensajes identificados como falsos positivos. También se aconseja la creación temporal de reglas de transporte (mail flow rules) para excluir dominios internos y socios de confianza de los filtros antiphishing, siempre que sea posible, hasta que se restaure la normalidad.

Otras acciones recomendadas:

– Monitorizar los reportes de incidentes EX680695 y actualizaciones de Microsoft 365 Health Dashboard.
– Auditar los logs de cuarentena y eventos de alerta para identificar patrones recurrentes.
– Revisar y, si es necesario, afinar las políticas de antiphishing personalizadas, minimizando el margen de error de las heurísticas automáticas.
– Comunicar internamente la incidencia a los empleados, advirtiendo sobre posibles retrasos en la recepción de correos.

### Opinión de Expertos

Expertos en seguridad, como los investigadores de Mandiant y la comunidad de Blue Team, han señalado en varias ocasiones el peligro de los falsos positivos en sistemas automatizados de filtrado, especialmente cuando se aplican actualizaciones masivas sin pruebas exhaustivas en entornos reales. “La automatización es clave para la defensa, pero los modelos de inteligencia artificial requieren una supervisión humana constante para evitar este tipo de disrupciones”, apunta Javier García, analista de amenazas en S21Sec.

### Implicaciones para Empresas y Usuarios

Para las empresas, esta incidencia evidencia la necesidad de equilibrar protección y usabilidad, así como de contar con procedimientos de respuesta ante errores de clasificación masiva. El bloqueo de comunicaciones legítimas puede derivar en pérdidas económicas, afectación a la reputación corporativa y problemas legales si se considera que la disponibilidad de la información ha sido comprometida.

A nivel usuario, el incidente resalta la importancia de mantener canales alternativos de comunicación y de estar al tanto de posibles retrasos en la entrega de información crítica.

### Conclusiones

El incidente de Exchange Online subraya los retos de confiar plenamente en sistemas de clasificación automatizados para la protección del correo electrónico. Aunque la detección proactiva de amenazas es esencial, la gestión de falsos positivos debe ser una prioridad para evitar disrupciones en la operación empresarial. Se recomienda a los equipos de seguridad monitorizar de cerca la evolución del incidente, aplicar medidas provisionales y colaborar activamente con los equipos de soporte de Microsoft.

(Fuente: www.bleepingcomputer.com)