Hackers explotan enlaces legítimos de office.com y ADFS para robar credenciales de Microsoft 365

Introducción

En las últimas semanas, se ha detectado una campaña de phishing sofisticada que aprovecha la confianza depositada en los dominios legítimos de Microsoft, combinando enlaces oficiales de office.com con la funcionalidad de Active Directory Federation Services (ADFS) para redirigir a los usuarios a páginas de phishing. Este nuevo vector de ataque ha puesto en alerta a los responsables de seguridad, ya que permite sortear filtros tradicionales y comprometer credenciales de acceso a Microsoft 365, impactando especialmente a organizaciones que utilizan federación de identidades en entornos híbridos.

Contexto del Incidente

El ataque se basa en el abuso de los flujos de autenticación federada proporcionados por ADFS, un componente ampliamente desplegado en entornos empresariales para facilitar el inicio de sesión único (SSO) entre Active Directory y servicios cloud como Microsoft 365. Los atacantes han identificado una metodología que les permite manipular URLs legítimas de office.com, de modo que, tras un proceso de autenticación aparentemente normal, el usuario termina siendo redirigido a un sitio controlado por los ciberdelincuentes.

En la mayoría de los casos observados, la cadena de ataque comienza con correos electrónicos de phishing dirigidos a empleados de medianas y grandes organizaciones. Estos mensajes incluyen enlaces que aparentan ser solicitudes legítimas de acceso o verificación de la cuenta de Microsoft 365, y que cuentan con la estructura y dominio habitual de Microsoft, lo que dificulta su detección por parte de soluciones de filtrado convencionales y del propio usuario.

Detalles Técnicos

Los analistas han identificado que estos ataques aprovechan la arquitectura de autenticación federada basada en el estándar SAML (Security Assertion Markup Language) y los endpoints de ADFS. El flujo típico manipulado es el de redirección tras el inicio de sesión federado. Los atacantes envían enlaces que comienzan con un dominio de Microsoft, como `https://office.com/`, seguido de parámetros legítimos de autenticación, pero alteran la URL de retorno (`redirect_uri`) para que, tras la autenticación, el usuario sea enviado a un sitio externo controlado por ellos.

Los TTPs (Tactics, Techniques, and Procedures) identificados se corresponden con las técnicas MITRE ATT&CK T1566.002 (Phishing: Spearphishing Link) y T1204 (User Execution). Como IoCs (Indicadores de Compromiso), los equipos SOC deben monitorizar logs de ADFS en busca de patrones inusuales de redirección y URLs de office.com con parámetros atípicos. En algunos casos, los atacantes emplean proxies inversos o frameworks como Evilginx2 para capturar tokens de sesión y credenciales MFA (Multi-Factor Authentication), permitiendo así la elusión de mecanismos de autenticación avanzada.

Impacto y Riesgos

El principal riesgo es la obtención de credenciales corporativas de Microsoft 365, lo que puede desembocar en accesos no autorizados, robo de información confidencial, suplantación de identidad y movimientos laterales dentro del entorno de la organización. Los informes actuales indican que el 9% de los incidentes recientes de phishing contra Office 365 han utilizado variantes de esta técnica, y se estima que más de 1.200 empresas en la UE y América del Norte han sido potencialmente expuestas.

Además, la explotación de la federación de identidades complica la detección: las conexiones y redirecciones parecen legítimas tanto para el usuario como para las soluciones de monitorización. La sustracción de tokens de sesión permite a los atacantes eludir restricciones de acceso geográfico y controles de MFA, aumentando el potencial de daño económico y legal, especialmente en sectores regulados bajo GDPR o la directiva NIS2.

Medidas de Mitigación y Recomendaciones

Para mitigar este vector de ataque, los expertos recomiendan:

1. Revisar y restringir las URLs de redirección permitidas en la configuración de ADFS, limitando únicamente a dominios internos y de confianza.
2. Implementar detección de patrones anómalos en los logs de autenticación, con especial atención a redirecciones fuera de lo habitual.
3. Reforzar la formación de usuarios, haciendo hincapié en la verificación de enlaces de inicio de sesión, incluso si proceden de dominios legítimos.
4. Utilizar políticas de acceso condicional en Azure AD para limitar el acceso desde ubicaciones sospechosas o dispositivos no gestionados.
5. Desplegar mecanismos de autenticación robusta, como FIDO2 o tarjetas inteligentes, que no dependan únicamente de tokens susceptibles de robo vía proxy inverso.
6. Actualizar y parchear los componentes de ADFS y revisar periódicamente las configuraciones SAML y OAuth.

Opinión de Expertos

Analistas de empresas líderes en ciberseguridad, como Mandiant y Proofpoint, advierten que la sofisticación de estas campañas refleja una tendencia clara hacia el abuso de flujos de autenticación legítimos. Según Marta Gutiérrez, CISO de una multinacional española, “la explotación de Office.com y ADFS desafía los modelos tradicionales de detección y resalta la importancia de controles de acceso adaptativos y monitorización contextual”.

Implicaciones para Empresas y Usuarios

Las empresas deben revisar de inmediato sus políticas de federación de identidades y reforzar los controles de seguridad asociados a la autenticación federada. Los usuarios finales, por su parte, deben ser conscientes de que un dominio legítimo no garantiza la autenticidad del proceso de inicio de sesión. La exposición de credenciales corporativas puede desencadenar incidentes de ransomware, fugas de datos y sanciones regulatorias bajo GDPR y NIS2.

Conclusiones

Los ataques que combinan enlaces legítimos de office.com con manipulaciones en ADFS representan una evolución significativa en las técnicas de phishing dirigidas a entornos Microsoft 365. La capacidad de sortear controles tradicionales y capturar credenciales, incluso en entornos con MFA, exige una revisión urgente de las defensas perimetrales y de autenticación. La vigilancia proactiva, la formación avanzada y la adopción de autenticación robusta son imprescindibles para contener esta amenaza emergente.

(Fuente: www.bleepingcomputer.com)