{"id":112810,"date":"2022-08-22T15:31:09","date_gmt":"2022-08-22T15:31:09","guid":{"rendered":"https:\/\/magazineoffice.com\/los-piratas-informaticos-han-encontrado-una-nueva-forma-de-acceder-a-su-cuenta-de-microsoft-365\/"},"modified":"2022-08-22T15:31:11","modified_gmt":"2022-08-22T15:31:11","slug":"los-piratas-informaticos-han-encontrado-una-nueva-forma-de-acceder-a-su-cuenta-de-microsoft-365","status":"publish","type":"post","link":"https:\/\/magazineoffice.com\/los-piratas-informaticos-han-encontrado-una-nueva-forma-de-acceder-a-su-cuenta-de-microsoft-365\/","title":{"rendered":"Los piratas inform\u00e1ticos han encontrado una nueva forma de acceder a su cuenta de Microsoft 365"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"article-body\">\n<p>El actor de amenazas patrocinado por el estado ruso Cozy Bear (tambi\u00e9n conocido como APT29 o Nobelium) est\u00e1 desplegando nuevas t\u00e1cticas para colarse en las cuentas de Microsoft 365, en un intento de robar informaci\u00f3n confidencial sobre pol\u00edtica exterior.<\/p>\n<p>Esto es seg\u00fan un nuevo informe de la firma de seguridad cibern\u00e9tica Mandiant, que afirma que Cozy Bear est\u00e1 utilizando tres t\u00e9cnicas para ejecutar (y disfrazar) los ataques:<\/p>\n<aside class=\"hawk-nest\" data-render-type=\"fte\" data-skip=\"dealsy\" data-widget-type=\"seasonal\"\/>\n<ol>\n<li>Deshabilitar Purview Audit antes de interactuar con una cuenta de correo electr\u00f3nico comprometida<\/li>\n<li>Contrase\u00f1as de Microsoft 365 de fuerza bruta que a\u00fan no se han inscrito en la autenticaci\u00f3n multifactor (MFA)<\/li>\n<li>Cubriendo sus huellas usando Azure Virtual Machines a trav\u00e9s de cuentas comprometidas o comprando el servicio<\/li>\n<\/ol>\n<h2 id=\"new-microsoft-365-attack\">Nuevo ataque de Microsoft 365<\/h2>\n<p>Purview Audit, recuerdan los investigadores, es una funci\u00f3n de seguridad de alto nivel que registra si una persona accede a una cuenta de correo electr\u00f3nico fuera del programa (ya sea a trav\u00e9s del navegador, Graph API o Outlook).  De esa forma, los departamentos de TI pueden administrar todas las cuentas y asegurarse de que no haya accesos no autorizados.<\/p>\n<p>\u00abEsta es una fuente de registro cr\u00edtica para determinar si un actor de amenazas est\u00e1 accediendo a un buz\u00f3n en particular, as\u00ed como para determinar el alcance de la exposici\u00f3n\u00bb, escribi\u00f3 Mandiant.  \u00abEs la \u00fanica forma de determinar de manera efectiva el acceso a un buz\u00f3n en particular cuando el actor de amenazas utiliza t\u00e9cnicas como la suplantaci\u00f3n de identidad de la aplicaci\u00f3n o Graph API\u00bb.<\/p>\n<p>Sin embargo, APT29 es muy consciente de esta funci\u00f3n y se asegura de desactivarla antes de acceder a cualquier correo electr\u00f3nico.<\/p>\n<p>Los investigadores tambi\u00e9n encontraron que Cozy Bear abusaba del proceso de inscripci\u00f3n autom\u00e1tica para MFA en Azure Active Directory (AD).  Cuando un usuario intenta iniciar sesi\u00f3n por primera vez, primero deber\u00e1 habilitar MFA en la cuenta. <\/p>\n<p>Los actores de amenazas buscan solucionar esta funci\u00f3n forzando las cuentas de fuerza bruta que a\u00fan no se han inscrito en la funci\u00f3n de ciberseguridad avanzada.  Luego, completan el proceso en lugar de la v\u00edctima, otorgando acceso continuo a la infraestructura VPN de la organizaci\u00f3n objetivo y, por lo tanto, a toda la red y sus puntos finales.<\/p>\n<p>Por \u00faltimo, las m\u00e1quinas virtuales de Azure ya tienen direcciones IP de Microsoft y, debido a que Microsoft 365 se ejecuta en Azure, los equipos de TI tienen dificultades para diferenciar el tr\u00e1fico regular del malicioso.  Cozy Bear puede ocultar a\u00fan m\u00e1s su actividad de Azure AD combinando URL de direcciones de aplicaciones regulares con actividad maliciosa.<\/p>\n<p>La probabilidad de que los usuarios regulares sean atacados por el grupo de amenazas es probablemente relativamente peque\u00f1a, pero las grandes empresas deber\u00e1n estar alertas al vector de ataque, que podr\u00eda usarse para apuntar a ejecutivos de alto perfil y otras personas con acceso a informaci\u00f3n confidencial.<\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/magazineoffice.com\/\">Source link-36<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>El actor de amenazas patrocinado por el estado ruso Cozy Bear (tambi\u00e9n conocido como APT29 o Nobelium) est\u00e1 desplegando nuevas t\u00e1cticas para colarse en las cuentas de Microsoft 365, en&hellip;<\/p>\n","protected":false},"author":1,"featured_media":84869,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[21980],"tags":[7920,3418,1680,575,1679,9844,8,683,254,9151,73],"_links":{"self":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/112810"}],"collection":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/comments?post=112810"}],"version-history":[{"count":1,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/112810\/revisions"}],"predecessor-version":[{"id":112811,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/112810\/revisions\/112811"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media\/84869"}],"wp:attachment":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media?parent=112810"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/categories?post=112810"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/tags?post=112810"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}