AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Empresas

**Nueva Plataforma Kali365 PhaaS Permite Secuestro de Cuentas Microsoft 365 Mediante Abuso de OAuth y Evasión de MFA**

admin

### 1. Introducción

El FBI ha emitido recientemente una alerta dirigida a organizaciones y expertos en ciberseguridad sobre la aparición de Kali365, una sofisticada plataforma de phishing como servicio (PhaaS) que está siendo empleada para comprometer cuentas de Microsoft 365. Kali365 destaca por explotar el flujo de autenticación de código de dispositivo OAuth, permitiendo a los atacantes eludir mecanismos de autenticación multifactor (MFA) y secuestrar tokens de sesión de forma masiva. Este desarrollo supone un salto cualitativo en las tácticas de robo de credenciales y plantea importantes desafíos para la protección de entornos cloud empresariales.

### 2. Contexto del Incidente o Vulnerabilidad

El modelo PhaaS ha evolucionado en los últimos años, facilitando a actores maliciosos la orquestación de campañas de phishing avanzadas sin necesidad de grandes conocimientos técnicos. Kali365 representa una nueva generación de estos servicios, orientados específicamente al ecosistema Microsoft 365, ampliamente adoptado por empresas de todos los tamaños en Europa y el resto del mundo. Según la alerta del FBI, el abuso del protocolo OAuth por parte de Kali365 ha incrementado notablemente la tasa de éxito de los ataques y ha complicado la detección por parte de los equipos SOC.

### 3. Detalles Técnicos (CVE, vectores de ataque, TTP MITRE ATT&CK, IoC…)

**Flujo de ataque**
Kali365 se apoya en el flujo “OAuth 2.0 Device Authorization Grant” (RFC 8628), conocido habitualmente como “código de dispositivo”. Este flujo fue diseñado para permitir la autenticación en dispositivos sin interfaz completa, pero está siendo manipulado por los atacantes para obtener tokens de acceso y actualización válidos.

1. **Phishing inicial**: Las víctimas reciben correos electrónicos o mensajes que simulan notificaciones legítimas de Microsoft, conteniendo enlaces a la página oficial de login de Microsoft 365.
2. **Abuso del Device Code**: El usuario es redirigido a la URL de autorización de dispositivos de Microsoft e introduce un código malicioso proporcionado por el atacante.
3. **Captura de tokens**: Tras la autenticación, el atacante recibe los tokens de sesión OAuth asociados a la cuenta de la víctima, sin necesidad de capturar credenciales explícitas ni contraseñas de un solo uso (OTP) del MFA.
4. **Persistencia y movimiento lateral**: El acceso se mantiene mientras el token sea válido, permitiendo el acceso a servicios como Outlook, SharePoint y Teams.

**MITRE ATT&CK**:
– Tactic: Initial Access (TA0001), Credential Access (TA0006), Persistence (TA0003)
– Techniques: Phishing (T1566), Abuse of OAuth (T1550.001), Valid Accounts (T1078)

**Indicadores de Compromiso (IoC):**
– Solicitudes anómalas al endpoint `https://login.microsoftonline.com/common/oauth2/deviceauth`
– Uso de aplicaciones OAuth no autorizadas en Azure AD
– Tokens de acceso generados fuera de patrones geográficos habituales

No se ha asignado un CVE específico, ya que la técnica explota un uso legítimo, aunque poco seguro, del estándar OAuth.

### 4. Impacto y Riesgos

Según datos del FBI, en los últimos seis meses se han reportado miles de incidentes relacionados con Kali365, con impactos directos en sectores financiero, tecnológico, legal y educativo. El acceso ilícito a cuentas de Microsoft 365 puede derivar en:

– Exfiltración masiva de datos sensibles y confidenciales
– Suplantación de identidad interna y ataque de spear phishing
– Compromiso de cadenas de suministro y BEC (Business Email Compromise)
– Pérdidas económicas derivadas de fraude y cumplimiento normativo (multas por GDPR, NIS2)

Se estima que hasta un 20% de los ataques de phishing recientes a Microsoft 365 han empleado flujos OAuth para evadir MFA, según informes de analistas de mercado y equipos de respuesta a incidentes.

### 5. Medidas de Mitigación y Recomendaciones

– **Revisión y restricción de aplicaciones OAuth**: Auditar y restringir las aplicaciones que pueden solicitar permisos en Azure AD. Deshabilitar el flujo de device code donde no sea estrictamente necesario.
– **Monitorización avanzada**: Implementar reglas de correlación en SIEM para detectar patrones anómalos de autenticación, especialmente desde ubicaciones y dispositivos inusuales.
– **Políticas de acceso condicional**: Configurar políticas de acceso condicional en Microsoft Entra (Azure AD) para restringir el uso de flujos OAuth de alto riesgo.
– **Educación y concienciación**: Formar a los usuarios sobre los riesgos de introducir códigos de autorización y verificar siempre la legitimidad de las peticiones de login.
– **Rotación de credenciales y revocación de tokens**: Revocar sesiones y tokens ante cualquier sospecha de abuso y forzar la reautenticación de los usuarios afectados.

### 6. Opinión de Expertos

Expertos en ciberseguridad advierten que la explotación de OAuth representa una tendencia al alza y subrayan la necesidad de diseñar controles de acceso contextual y adaptativos. “El tradicional enfoque de MFA ya no es suficiente si los flujos de autenticación están mal configurados o son abusados mediante ingeniería social”, señala María González, CISO de una multinacional tecnológica. Asimismo, equipos de respuesta a incidentes recomiendan integrar detección de anomalías de OAuth en todos los procesos de monitoring y threat hunting.

### 7. Implicaciones para Empresas y Usuarios

El auge de plataformas PhaaS como Kali365 pone en evidencia la urgencia de revisar la arquitectura de identidad y acceso en las empresas. Organizaciones sujetas a GDPR y NIS2 deben prestar especial atención, ya que la fuga de datos personales o información confidencial puede desencadenar sanciones regulatorias significativas. Para los usuarios finales, el riesgo de robo de identidad y acceso no autorizado a recursos corporativos es más elevado que nunca, especialmente en entornos híbridos y de teletrabajo.

### 8. Conclusiones

Kali365 marca un nuevo hito en la evolución del phishing como servicio, demostrando la capacidad de los atacantes para eludir controles avanzados como MFA mediante la explotación de flujos OAuth legítimos. La respuesta debe ser integral: combinar monitorización inteligente, políticas restrictivas de acceso, formación continua y una rápida revocación de permisos ante cualquier anomalía. Solo así se podrá frenar el avance de amenazas como Kali365 y proteger los activos críticos de las organizaciones.

(Fuente: www.bleepingcomputer.com)