AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Empresas

### Microsoft atribuye a reglas heurísticas defectuosas el falso positivo masivo en Exchange Online

admin

#### Introducción

La semana pasada, numerosas organizaciones que utilizan Exchange Online experimentaron interrupciones significativas en el flujo de correo legítimo debido a un incidente de falso positivo en los sistemas de filtrado de Microsoft. Según ha confirmado la compañía, la raíz del problema fue una actualización incorrecta en las reglas heurísticas destinadas a identificar campañas de phishing de credenciales, lo que provocó que mensajes legítimos quedaran en cuarentena de forma masiva. Este incidente pone de manifiesto los riesgos inherentes a la automatización en la detección de amenazas y plantea cuestiones críticas sobre la gestión de reglas y la supervisión en entornos cloud empresariales.

#### Contexto del Incidente

El problema se detectó el 21 de junio de 2024, cuando equipos de TI y usuarios finales comenzaron a reportar la desaparición repentina de correos electrónicos legítimos en sus bandejas de entrada. Microsoft inicialmente lo identificó como un fallo en el servicio de Exchange Online Protection (EOP), el sistema de filtrado y protección nativo de Office 365. Los informes indicaban que los emails eran clasificados erróneamente como amenazas de phishing y trasladados automáticamente a cuarentena, interrumpiendo flujos de trabajo críticos y generando problemas de comunicación interna y externa en múltiples sectores.

Microsoft emitió un comunicado en el que reconocía que el incidente fue causado por la implantación de nuevas reglas heurísticas destinadas a reforzar la detección de campañas de credential phishing. Sin embargo, un error en la lógica de estas reglas provocó un índice de falsos positivos inusualmente elevado, afectando a un porcentaje considerable de la base de clientes de Exchange Online a nivel global.

#### Detalles Técnicos

El incidente no está vinculado a una vulnerabilidad específica (no se ha asignado ningún CVE), sino a un fallo en la actualización de los algoritmos heurísticos empleados por EOP y Microsoft Defender for Office 365. Estas reglas, diseñadas para analizar patrones sospechosos en los correos electrónicos —como URLs, dominios, cadenas de texto y metadatos—, fueron desplegadas sin el nivel habitual de testing en entornos de preproducción.

Según fuentes internas, la lógica defectuosa afectó principalmente a mensajes con enlaces a portales corporativos, sistemas de autenticación Single Sign-On (SSO) y documentos compartidos mediante plataformas cloud (por ejemplo, Azure Blob Storage y SharePoint). El vector de impacto se correspondió con la técnica T1566.002 (Phishing: Spearphishing via Service) del framework MITRE ATT&CK, aunque en este caso el daño se limitó a la denegación de servicio y no a la exfiltración de credenciales.

Entre los Indicadores de Compromiso (IoC) reportados en foros técnicos y por equipos SOC, destacan los siguientes patrones:

– Correos electrónicos legítimos con URLs internas corporativas cuarentenados.
– Dominios de confianza marcados como sospechosos.
– Picos inusuales en los logs de eventos de cuarentena de EOP.
– Alertas generadas en Microsoft Defender for Office 365 sin correspondencia con amenazas reales.

No existen exploits públicos asociados, pero la situación generó un vector de denegación de servicio (DoS) interno, ya que los procesos automatizados y workflows basados en correo electrónico sufrieron interrupciones.

#### Impacto y Riesgos

Microsoft estima que el incidente afectó a entre el 7% y el 12% de los tenants de Exchange Online a nivel mundial, con una incidencia especialmente alta en organizaciones que emplean reglas personalizadas de transporte o integraciones de SSO. Entre los principales riesgos identificados destacan:

– **Interrupción de procesos críticos**: Flujos de aprobación, facturación y gestión de incidentes se vieron paralizados, impactando en la continuidad de negocio.
– **Pérdida de confianza en la automatización de seguridad**: Los equipos de TI se vieron obligados a revisar manualmente grandes volúmenes de correos en cuarentena, aumentando la carga operativa y el riesgo de error humano.
– **Exposición a sanciones regulatorias**: En contextos regulados por GDPR y NIS2, la interrupción del correo electrónico puede considerarse un incidente de disponibilidad, susceptible de notificación a autoridades competentes.

#### Medidas de Mitigación y Recomendaciones

Tras detectar el fallo, Microsoft revirtió rápidamente las reglas heurísticas defectuosas y restauró los correos legítimos a las bandejas de entrada afectadas. Como recomendaciones para reducir el impacto de futuros incidentes, los expertos sugieren:

– Implementar reglas de exclusión (allow lists) robustas para dominios y servicios críticos.
– Monitorizar los logs de cuarentena de EOP y Defender for Office 365 mediante SIEMs como Sentinel o Splunk.
– Mantener canales de comunicación alternativos para procedimientos críticos, especialmente en sectores regulados.
– Revisar periódicamente las reglas de transporte personalizadas y su interacción con filtros automáticos.
– Establecer playbooks de respuesta específicos para incidentes de denegación de servicio interno derivados de falsos positivos.

#### Opinión de Expertos

Varios analistas de ciberseguridad han señalado la importancia de combinar heurística avanzada con controles humanos, especialmente en entornos tan críticos como el correo corporativo. “El uso de inteligencia artificial y aprendizaje automático en la detección de amenazas es fundamental, pero debe ir acompañado de validación humana y sistemas de rollback efectivos”, afirma Marta López, CISO de una consultora del sector financiero.

Por su parte, portavoces de la comunidad blue team han destacado la necesidad de transparencia y comunicación proactiva por parte de los proveedores cloud, especialmente ante incidentes que afectan a la disponibilidad del servicio.

#### Implicaciones para Empresas y Usuarios

El incidente resalta la dependencia crítica de los servicios cloud y la necesidad de mecanismos de resiliencia adicionales en la arquitectura de correo electrónico. Las empresas deben revisar sus estrategias de continuidad de negocio y evaluar la posibilidad de implementar soluciones híbridas o redundancias para reducir el riesgo de interrupciones generalizadas.

A nivel usuario, es fundamental informar sobre la posibilidad de falsos positivos y establecer procedimientos claros para la recuperación de correos legítimos desde la cuarentena.

#### Conclusiones

El incidente de Exchange Online pone de relieve tanto el potencial como las limitaciones de la automatización avanzada en la ciberdefensa. Si bien la heurística es clave para detener amenazas sofisticadas, los errores en su despliegue pueden tener consecuencias disruptivas a gran escala. Las organizaciones deben reforzar sus controles y procedimientos, manteniendo el equilibrio entre innovación y control de calidad.

(Fuente: www.bleepingcomputer.com)