Los ataques de rociado de contraseñas contra los usuarios de Microsoft Exchange están en aumento, advirtió la compañía, instando a las organizaciones a establecer políticas de autenticación como medida de mitigación.
En una publicación de blog de Tech Community (se abre en una pestaña nueva) al discutir el problema, «el Equipo de Exchange» dijo que muchos de sus clientes que aprovechan la autenticación básica están siendo atacados.
“La evidencia que veo todos los días indica claramente que la contraseña (se abre en una pestaña nueva) los ataques con spray son cada vez más frecuentes”, dijo el blog. Como resultado, el equipo decidió desactivar la autenticación básica en Exchange Online.
juego de numeros
Un ataque de rociado de contraseñas es esencialmente un ataque de fuerza bruta en el que los actores de amenazas usan la automatización para probar tantas combinaciones de nombre de usuario/contraseña en la pantalla de inicio de sesión, hasta que encuentran una combinación que funcione. Sin embargo, a diferencia de los ataques básicos de fuerza bruta, los ataques de rociado de contraseñas cambian constantemente los nombres de usuario, así como también las direcciones IP de origen. Eso evita que cualquier herramienta de seguridad bloquee las cuentas seleccionadas.
“Es esencialmente un juego de números, y las computadoras son bastante buenas para los números. Y a medida que avanzan los ataques, funciona”, agregó el blog.
Los protocolos más comúnmente atacados son SMTP e IMAP, dijeron los investigadores, y agregaron que POP, aunque es el tercero en la lista, está muy lejos de los dos primeros.
Para asegurarse de que solo las cuentas conocidas puedan usar la autenticación básica con protocolos específicos, el equipo de Exchange sugiere que las organizaciones establezcan políticas de autenticación. “¡Comience con SMTP e IMAP y hágalo hoy!”, dicen.
Los ataques de fuerza bruta son bastante populares entre los actores de amenazas, principalmente porque se sabe que las personas usan la misma combinación de nombre de usuario y contraseña en una amplia gama de servicios en línea.
Al comprometer un servicio y robar sus datos de inicio de sesión, los actores de amenazas a menudo pueden comprometer cuentas en múltiples plataformas, obteniendo un verdadero tesoro de datos que les permite involucrarse en identidad. (se abre en una pestaña nueva) robo y, en algunos casos, incluso robo financiero.