Office 365 está dirigido por los ciberdelincuentes

Una empresa ha detectado un nuevo vector de ataque utilizado cada vez más por los ciberdelincuentes para dirigirse a los muchos usuarios de Office 365: Aplicaciones de Azure Maliciosas.

Los atacantes pueden crear, disfrazar y desplegar aplicaciones de Azure maliciosas en sus campañas de Phishing. Las aplicaciones de Azure no requieren la aprobación de Microsoft y, lo que es más importante, no requieren ejecución de código en la máquina del usuario, lo que facilita la escape de las herramientas de detección en LendepuntsNateráticamente. «Una vez que el atacante convenció a la víctima para hacer clic para instalar aplicaciones de Azure Maliciosas., puede asignar la organización del usuario, acceder a los archivos de la víctima, leer sus correos electrónicos, enviar correos electrónicos en su nombre (ideal para el phishing de lanza interno), y mucho más «, dice el especialista.

¿Qué son las aplicaciones de Azure? Microsoft ha creado Azure App Service para dar a los usuarios la posibilidad de crear aplicaciones de nube personalizadas que puedan llamar y consumir fácilmente los recursos de API y Azure, lo que facilita la creación de programas que se integran con el ecosistema de Microsoft 365.L. Una de las API de azules más comunes es la API del gráfico de MS. Esta API permite que las solicitudes interactúen con el entorno 365 del usuario, incluidos los usuarios, los grupos, los documentos de OneDrive, los buzones de correo en línea de Exchange y las conversaciones. Al igual que su teléfono iOS le preguntará si una aplicación accede a sus contactos o ubicación, el proceso de autorización de aplicaciones de Azure requieren que el usuario otorgue el acceso a la aplicación a los recursos que necesita. Por lo tanto, un atacante inteligente puede usar esta oportunidad para alentar a un usuario a dar su acceso de aplicación maliciosa a uno o más recursos de la nube sensible.

¿Qué ve el usuario?

«bajo el nombre Sin embargo, de la solicitud, es el nombre del inquilino del atacante y un mensaje de advertencia, que no se puede enmascarar. El atacante espera y un usuario tendrá prisa, verá el icono familiar y se moverá a través de esta pantalla, tan rápido e irreflectada, pasaría con un aviso de las condiciones de servicio «, detalle Varonis.in haciendo clic en» Aceptar «, la víctima Supresa la solicitud Las autorizaciones en nombre de su usuario, es decir, la aplicación puede leer los correos electrónicos de la víctima y acceder a todos los archivos a los que tiene acceso. «Este paso es el único que requiere el consentimiento de la víctima, desde ese momento, El atacante tiene un control total sobre la cuenta y los recursos del usuario «. Después de otorgar su acuerdo sobre la solicitud, la víctima será redirigida a un sitio de Internet de la elección del atacante. «Un buen truco (del pirata, NDLR) puede ser para mapear el acceso reciente a los archivos del usuario y redirigirlo a un documento interno de SharePoint para que la redirección sea menos sospechosa». Este ataque puede dar acceso a la lista de usuarios, grupos y objetos en el cliente 365 del usuario, al phishing de lanza, robo de archivos y cartas de Office 365. «Esta llamada de API solo puede desencadenar una violación masiva de la información personal. «, Dice el especialista.. El flujo de autenticación está totalmente gestionado por Microsoft. Por lo tanto, el uso de la autenticación multifactor no es una atenuación viable, precisa Varonis. A la hora de que el usuario se conecta a su instancia O365, se generará un token para la aplicación maliciosa y se invitará al usuario a la autorización y otorgará las autorizaciones que necesita. Esto es lo que parece para el usuario final.

¿Cómo eliminar las aplicaciones maliciosas?

Según Varonis, la forma más fácil de detectar las subvenciones de consentimiento ilícito es monitorear los eventos de consentimiento en Azure AD y revise regularmente sus «aplicaciones empresariales» en el portal de Azure.

Uso del portal de Azure, vaya a «Aplicaciones corporativas» en la «Tab» Azure Active Directory «y elimine las aplicaciones. Un usuario habitual también puede eliminar el acceso al acceder a https://myapps.microsoft.com, revisando las aplicaciones que se enumeran y revocan los privilegios si es necesario.

Deja un comentario

Tu dirección de correo electrónico no será publicada.