BEC eludiendo MFA: la nueva batalla de Microsoft

Desde hace ya mucho tiempo, Microsoft añade a sus servicios sistemas de identificación en varios factores (MFA), al tiempo que alienta a los usuarios a emplearlos. Y es una medida más que lógica, puesto que se ha probado que la combinación de dos o más elementos para acreditar la identidad del usuario reduce los riesgos de que una cuenta se vea comprometida por encima del 90%, e incluso he llegado a escuchar a algún experto que afirmaba que este número se eleva hasta un apabullante 99%, simplemente adoptando la autenticación en dos factores (2FA).

Esto no significa, claro, que este sistema sea perfecto. Hace unos meses, por ejemplo, Microsoft alertaba de los riesgos de usar los mensajes SMS como canal de verificación, y hace ya tiempo que tecnológicas como Google y Apple trabajan en la búsqueda de medidas para mejorar su seguridad. Este sistema de seguridad sigue evolucionando, y a medida que se detectan problemas en el mismo la industria se vuelca para buscar soluciones a los mismos.

Ahora bien, que 2FA y MFA no sean 100% seguros (¿hay algo en esta vida que lo sea?) no significa que debamos equipararlos al acceso solo con contraseña, pues siguen y seguirán siendo mucho más seguros. Y la mejor muestra de ello la tenemos al comprobar que los ciberdelincuentes centran gran parte de sus esfuerzos en buscar vías que permitan eludir la autenticación en varios pasos, en vez de intentar obtener las claves de los mismos.

Y según las investigaciones de Microsoft, algunos ya habrían dado con la manera de conseguirlo, y lo habrían aprovechado para exfiltrar información de empresas que han sido víctimas de ataques basados en esta premisa. Y es que aunque los modernos sistemas de autenticación permiten mantener la seguridad aunque la contraseña de una cuenta se haya revelado, el uso de protocolos heredados, como los clásicos IMAP y POP3 permite eludir esta medida de seguridad.

Así, según la investigación de Microsoft, los atacantes habrían iniciado sus incursiones mediante phishing, suplantando páginas de login de los servicios de Microsoft y, una vez obtenida la contraseña, habrían empleado un agente de usuario denominado BAV2ROPC «que probablemente sea una base de código que utiliza protocolos heredados como IMAP / POP3, contra Microsoft Exchange Online«, dijeron los investigadores.

Adicionalmente, en una muestra más de que los atacantes sabían lo que hacían, configuraron su malware para que en caso de que se produjera una solicitud de identificación adicional, que habría indicado que MFA estaba activo, devolviera un mensaje de error, que evitaría que el usuario de la cuenta comprometida recibiera la la clave adicional de acceso, algo que le habría puesto sobre la pista de que su cuenta estaba siendo atacada.

A partir de este punto, para garantizar persistencia y evitar despertar sospechas, los atacantes emplearon reglas de buzón para exfiltrar información. En un primer paso, si un mensaje contenía las palabras clave (factura, pago y declaración), el mensaje era reenviado a una cuenta de correo electrónico predefinida. Por su parte, una segunda regla analizaba el buzón buscando cualquier mensaje que contuviera la dirección de email del atacante, con el fin de eliminarlos.

Esta investigación de Microsoft, que fue capaz de detectar y remediar el ataque, nos demuestra, una vez más, que el eslabón más débil sigue siendo el que determina la resistencia de toda la cadena. El phishing sigue siendo la piedra angular de la fase inicial de muchos ataques, por lo que es imprescindible dotarse de las herramientas necesarias para prevenirlo. También es fundamental formar a los empleados para que sean capaces de detectarlo y, por último pero no por ello menos importante, deshabilitar protocolos y medios de acceso no seguros, cuando no son necesarios, también es una medida de seguridad más que recomendable.

La entrada BEC eludiendo MFA: la nueva batalla de Microsoft es original de MuySeguridad. Seguridad informática.