Microsoft reveló la semana pasada que había descubierto que sus sistemas corporativos habían sido comprometidos por piratas informáticos respaldados por el estado ruso que estaban detrás del ataque a SolarWinds. Los piratas informáticos pudieron acceder a las cuentas de correo electrónico de algunos miembros del equipo de liderazgo senior de Microsoft y potencialmente monitorearlas durante semanas o meses.
Si bien Microsoft no proporcionó muchos detalles sobre cómo los atacantes obtuvieron acceso en su primera divulgación a la Comisión de Bolsa y Valores el viernes por la noche, el fabricante de software ha publicado ahora un análisis preliminar de cómo los piratas informáticos violaron sus protecciones de seguridad. Microsoft también advirtió que el grupo de hackers de temática meteorológica, conocido como Nobelium o "Midnight Blizzard", como lo llama Microsoft, ha estado atacando a otras organizaciones.
Inicialmente, Nobelium obtuvo acceso a los sistemas de Microsoft mediante un ataque de pulverización de contraseñas. Este ataque es un ataque de fuerza bruta en el que los piratas informáticos utilizan un diccionario de posibles contraseñas para atacar una cuenta. Además de eso, la cuenta de inquilino de prueba de no producción comprometida no tenía habilitada la autenticación de dos factores. Microsoft dijo que Nobelium "adaptó su ataque de pulverización de contraseñas para apuntar a un número limitado de cuentas, utilizando un número menor de intentos para evadir la detección".
En este ataque, el grupo "aprovechó su acceso inicial para identificar y comprometer una aplicación OAuth de prueba heredada que tenía acceso avanzado al entorno empresarial de Microsoft". OAuth es un estándar abierto ampliamente utilizado para la autenticación basada en tokens. Se usa comúnmente en la web para permitirle iniciar sesión en aplicaciones y servicios sin tener que proporcionar su contraseña a un sitio web. Piense en los sitios web en los que podría iniciar sesión con su cuenta de Gmail. Aquí es donde entra en juego OAuth.
El acceso elevado permitió al grupo crear más aplicaciones OAuth maliciosas y crear cuentas para acceder al entorno empresarial de Microsoft y, en última instancia, a su servicio Office 365 Exchange Online, obteniendo así acceso a las bandejas de entrada de correo electrónico.
El equipo de seguridad de Microsoft explica: "MidnightBlizzard aprovecha estas aplicaciones OAuth maliciosas para autenticar cuentas de correo electrónico empresarial de Microsoft Exchange Online y Microsoft.
Microsoft no ha revelado cuántas cuentas de correo electrónico corporativas fueron atacadas y accedidas, pero la compañía las describió anteriormente como "un subconjunto muy pequeño de cuentas de correo electrónico corporativas de Microsoft, incluidos miembros de nuestro equipo de liderazgo senior y empleados en ciberseguridad, funciones legales y otras".
Microsoft tampoco ha revelado todavía el cronograma exacto de cuánto tiempo los piratas informáticos monitorearon a su equipo de liderazgo senior y a otros empleados. El ataque inicial se produjo a finales de noviembre de 2023, pero Microsoft no se dio cuenta hasta el 12 de enero. Esto podría significar que los atacantes han estado espiando a los ejecutivos de Microsoft durante casi dos meses.
Hewlett Packard Enterprise (HPE) reveló a principios de esta semana que el mismo grupo de piratas informáticos había obtenido acceso previamente a su "entorno de correo electrónico basado en la nube". HPE no nombró al proveedor, pero la compañía reveló que el incidente "probablemente estaba relacionado" con un "número limitado de exfiltración de archivos [de Microsoft] SharePoint ya en mayo de 2023".
El ataque se produce pocos días después de que Microsoft anunciara planes para revisar la seguridad de su software luego de un gran ataque a su nube Azure. Este es el último incidente de ciberseguridad que ha encontrado Microsoft. Anteriormente, en 2021, 30.000 servidores de correo electrónico de organizaciones fueron pirateados debido a una vulnerabilidad en Microsoft Exchange Server. El año pasado, piratas informáticos chinos invadieron los correos electrónicos del gobierno estadounidense a través de una vulnerabilidad en la nube de Microsoft. Microsoft también estuvo en el centro del ataque masivo a SolarWinds hace casi tres años, y el mismo grupo Nobelium estuvo detrás de este vergonzoso ataque por correo electrónico a ejecutivos.
Microsoft ha admitido que su cuenta de prueba clave carece de autenticación de dos factores, lo que puede causar preocupación en la comunidad de la ciberseguridad. Si bien esto no era una vulnerabilidad en el software de Microsoft, era un entorno de prueba mal configurado que permitía a los piratas informáticos atravesar silenciosamente la red corporativa de Microsoft. A principios de esta semana, el director ejecutivo de CrowdStrike, George Kurtz, preguntó en una entrevista con CNBC: "¿Cómo un entorno de pruebas que no es de producción llevó al compromiso de los funcionarios de más alto nivel de Microsoft?" Creo que hay más por venir. "
Se ha publicado más información, pero aún faltan algunos detalles clave. Microsoft afirma que si hoy se implementara el mismo entorno de prueba que no es de producción, "las políticas y flujos de trabajo de Microsoft aplicados garantizarían que MFA y nuestras protecciones proactivas estén habilitadas" para proteger mejor contra estos ataques. Microsoft todavía tiene mucho que explicar, especialmente si quiere convencer a los clientes de que realmente está mejorando la forma en que se diseñan, construyen, prueban y ejecutan su software y servicios para proteger mejor contra las amenazas a la seguridad.
aprender más:
https://www.microsoft.com/en-us/security/blog/2024/01/25/midnight-blizzard-guidance-for-responders-on-nation-state-attack/