Cómo prevenir ataques basados ​​en la nube usando Otsu

Según un anuncio reciente de Malwarebytes, los atacantes de SolarWinds accedieron al correo electrónico interno de Malwarebytes. El vector de intrusión utilizado en este momento es el mismo vector de intrusión utilizado en otros ataques, y parece que la aplicación se explota con acceso privilegiado a los entornos de Microsoft Office 365 y Azure.

Un funcionario de Malwarebytes dijo: “La investigación mostró que el atacante utilizó un producto de protección de correo electrónico inactivo dentro del inquilino de Office 365 que permitía el acceso a un número limitado de correos electrónicos internos de la empresa”. Al observar la secuencia de ataques, parece que se utilizó un truco para engañar al usuario final para que permitiera compartir permisos de sitios de terceros a través de OAuth.

Otsu 2.0 es un estándar de autenticación y autorización basado en tokens que permite aprobar aplicaciones sin exponer directamente la contraseña del usuario. Vincular a través de un enlace como este podría suceder involuntariamente otorgar a productos de terceros más derechos de los previstos. Por esta razón, recomiendo que el administrador siempre apruebe el acceso, o al menos controle la autorización de acceso, al establecer la configuración de Otsu.

La forma en que los atacantes explotan a Otsu

El comienzo de la secuencia de ataque es enviar un correo electrónico de phishing para atraer al usuario a hacer clic en un enlace o aprobar una actividad. Los atacantes podrían simplemente leer el correo electrónico de un usuario y al menos la información de contacto. En el caso de ataques conocidos, las características del token de acceso de Otsu son que está diseñado para parecerse a la marca de la empresa objetivo para que los usuarios sospechen menos. Al usuario se le presenta una pantalla que le da acceso limitado a los recursos de la empresa.

El atacante utiliza un servicio en la nube para crear un incentivo de phishing para lanzar un enlace de solicitud de autenticación Otsu específico. Cuando un usuario hace clic en un enlace, se otorga el permiso, por lo que un atacante puede hacerse pasar por ese usuario en todo el ecosistema donde se utiliza Otsu. Estos ataques no se pueden prevenir agregando múltiples autenticaciones. Se deben agregar políticas para revisar actividades y anomalías específicas.

Prevención de ataques basados ​​en Otsu

En primer lugar, debe averiguar cómo su empresa utiliza aplicaciones Oth 2.0 de terceros. ¿Está limitado por el alcance o necesita dónde puede agregar fácilmente privilegios de aprobación de administrador adicionales? Si el proceso de solicitud es limitado, se recomienda encarecidamente utilizar la configuración más restrictiva. En otras palabras, todos los usos de Otsu deben ser aprobados por el administrador antes de que el usuario pueda agregar acceso a la aplicación.

Como la técnica de ataque MITRE utilizada en los casos de ataque observados, no solo se utiliza la técnica de secuestro del token de acceso, sino también la relación de confianza con Office 365. Hay varias formas de monitorear estos problemas y configurar alertas.

Primero, configure el consentimiento del administrador para la aplicación. Microsoft agregó un punto intermedio de acuerdo. En lugar de dos configuraciones extremas, ‘Deshabilitar el consentimiento del usuario’ que bloquea todo y ‘Los usuarios pueden aceptar todas las aplicaciones’ que permite todo, ‘Los usuarios pueden aceptar las aplicaciones de los editores autenticados, pero con los permisos seleccionados. Se agregó una tercera opción.

La selección de esta opción permite a los usuarios iniciar sesión en aplicaciones de terceros con sus credenciales de Azure Active Directory, pero aún requiere el consentimiento del administrador para las aplicaciones que intentan leer datos de activos en la nube. También puede crear políticas de consentimiento de aplicaciones personalizadas.
Para configurar, inicie sesión en Azure Portal como administrador global y seleccione los siguientes elementos en orden.

• ‘Azure Active Directory’
• ‘Aplicación empresarial’
• ‘Consentimiento y autoridad’
• ‘Configuración de consentimiento del usuario’

En ‘Consentimiento del usuario para la aplicación’, seleccione la configuración de consentimiento deseada para todos los usuarios.

La configuración predeterminada para Microsoft 365 es permitir el consentimiento del usuario para las aplicaciones. Como también se señaló en la página de configuración de Microsoft, cualquier usuario puede permitir el acceso de la aplicación a sus datos organizacionales. Microsoft recomienda utilizar una configuración intermedia que permita el consentimiento del usuario para aplicaciones de editores autorizados.

El método de configuración del flujo de trabajo de consentimiento del administrador es el siguiente.

• Inicie sesión en Azure Portal como administrador global.
• Abra la extensión de Azure Active Directory haciendo clic en ‘Todos los servicios’ en la parte superior del menú de navegación izquierdo.
• Escriba Azure Active Directory en el cuadro de búsqueda del filtro.
• Seleccione la entrada de Azure Active Directory del proceso de búsqueda.
• Seleccione ‘Aplicaciones empresariales’ en el menú de navegación.
• Seleccione ‘Configuración de usuario’ en ‘Administración’.
• En ‘Solicitud de consentimiento del administrador (vista previa)’, configure ‘Permitir a los usuarios solicitar el consentimiento del administrador para las aplicaciones que los usuarios no pueden aceptar’ en ‘Sí’.

Ahora configure los siguientes ajustes.

• Seleccione quién revisará las solicitudes de consentimiento del administrador. El usuario seleccionado debe ser un administrador global y debe tener el rol de administrador de aplicaciones en la nube y el rol de administrador de aplicaciones. Habilita o deshabilita las notificaciones por correo electrónico a los revisores seleccionados cuando se realizan solicitudes mediante la selección de usuarios seleccionados.
• Configure recordatorios por correo electrónico que se enviarán a los revisores cuando la solicitud caduque pronto.
• Establezca un límite de tiempo durante el cual las solicitudes de consentimiento pueden permanecer vigentes.

El usuario necesita permiso y solicita aprobación presionando un botón. La solicitud de aprobación se envía al revisor designado para su aprobación. Los revisores tienen la opción de aprobar, rechazar o bloquear solicitudes según sea necesario.

Los usuarios con Microsoft Defender para Office recibirán una notificación de que se les ha otorgado un permiso de aplicación Otsu sospechoso. Estas notificaciones no deben pasarse por alto y deben revisarse cuidadosamente. El inquilino ya ha desactivado el reenvío automático en Office 365, pero si no lo hace, desactívelo. Esta es la última configuración predeterminada en la configuración de Microsoft 365. Cuando Microsoft descubrió que los atacantes a menudo usan el reenvío automático, Microsoft tomó medidas para bloquear el reenvío automático de forma predeterminada en 365.

Si tiene una licencia de Cloud App Security, incluso puede llegar a la etapa de investigar aplicaciones peligrosas en la nube. En el portal, vaya a ‘Investigación’ y ‘Aplicación Otsu’ a su vez. Revise qué aplicaciones están conectadas al dominio del usuario y qué permisos tienen en el entorno del usuario.

Hay muchos casos en los que el atacante sabe cómo atacar el sistema más de lo que el usuario sabe cómo protegerlo. Por lo tanto, es necesario tomarse un tiempo para descubrir las técnicas de ataque generales utilizadas en los ataques a la nube de destino. Las aplicaciones en la nube deben configurarse para protegerse desde cero. Establecer notificaciones y permisos adecuados para las aplicaciones de Otsu es la clave para mantener la seguridad de la red. [email protected]