Proofpoint ha alertado a los usuarios durante su evento virtual Proofpoint Protect, sobre las vulnerabilidades de carácter crítico en la implementación de la autenticación multifactor en entornos cloud de WS-Trust. Esto podría permitir a los atacantes eludir la AMF y con ello acceder a las aplicaciones cloud que utilizan este protocolo concreto, como es el caso de Microsoft 365.
Si nos centramos en este programa informático, la manera en la que su inicio de sesión está diseñado permite al ciberdelincuente obtener de manera sencilla acceso a la cuenta de su objetivo por completo, incluyendo correos, documentos, contactos o datos. Y es que, estas vulnerabilidades podrían servir asimismo para llegar a otros servicios en la nube ofrecidos por Microsoft, entre los que se encuentran Azure y Visual Studio.
Cómo comenta la compañía; lo más probable es que estos puntos débiles existan desde hace años y que, poniendo en práctica soluciones de proveedor de identidad (IDP), se han identificado las más susceptibles y resuelto sus problemas de seguridad.
De dónde proceden estas vulnerabilidades según Proofpoint
La combinación del “protocolo inherentemente seguro” (WS-Trust), como así lo describía Microsoft, con diversos bugs en su aplicación daban como resultado estos puntos débiles. En ciertos casos el atacante podía falsear su dirección IP para eludir la AMF simplemente manipulando el encabezado de la solicitud. En otros momentos, solo alterando el encabezado del usuario-agente, el IPD identificaba erróneamente el protocolo y creía que estaba empleando una autenticación moderna.
Por su parte, Microsoft registraba en todos los casos la conexión como autenticación moderna, debido a que el exploit pivota del protocolo heredado al moderno. Así, los administradores y profesionales de seguridad que vigilan al inquilino pensarían que la conexión se ha realizado mediante autenticación moderna, sin ser conscientes de la situación y de los riesgos que esta conlleva realmente.
Descubrir nuevas vulnerabilidades requiere de mucha investigación, ya que pueden incluso no dejar rastro o indicios de su actividad. Y dado que la AMF como medida preventiva puede llegar a eludirse, es necesario establecer medidas de seguridad adicionales para detectar y reparar cualquier compromiso de cuentas.
Proofpoint ha detectado vulnerabilidades en la autenticación multifactor de Microsoft 365
Cómo la AMF puede ser más segura
A pesar de que la AMF posibilita que las organizaciones reduzcan su superficie de ataque gracias a una capa adicional de seguridad, esta no es capaz de proporcionar por sí misma la suficiente protección, excepto si se combina con una visibilidad centrada en las personas y controles de acceso adaptativos.
En este punto entra Proofpoint CASB; la solución consigue bloquear automáticamente el acceso desde ubicaciones y redes de riesgo, así como de actores de amenaza conocidos; aplicar políticas centradas en usuarios de mayor riesgo o con ciertos privilegios; y disponer de controles más granulares, como aislar navegadores, inicio de sesión con VPN.
Además permite aplicar controles de seguridad y cumplimiento sin sobrecargar a aquellos usuarios de menor riesgo. De esta forma, Proofpoint combina la inteligencia sobre amenazas en todos los canales con datos contextuales específicos del usuario y de los registros de aplicaciones para analizar el comportamiento de las personas y detectar anomalías en aplicaciones e inquilinos en la nube.
