🕘 🤛🏾 📙 Uso de malware en Azure para obtener acceso a inquilinos de Microsoft 365 😑 🙅🏿 🎭

El phishing sigue siendo una de las formas más exitosas de infiltrarse en una organización. Hemos visto una gran cantidad de infecciones de malware que surgen de los usuarios que abren archivos adjuntos infectados o siguen enlaces a sitios maliciosos que intentaron comprometer navegadores o complementos vulnerables.

Ahora que las organizaciones se están mudando a Microsoft 365 a un ritmo tan rápido, estamos viendo un nuevo vector de ataque: las aplicaciones de Azure .

Como verá a continuación, los ciberdelincuentes pueden crear, enmascarar e implementar aplicaciones maliciosas de Azure para usar en sus campañas de phishing. Las aplicaciones de Azure no requieren la aprobación de Microsoft y, lo que es más importante, no requieren la ejecución de código en la computadora del usuario, lo que facilita eludir las herramientas de detección y los programas antivirus en las estaciones de trabajo.

Después de que el atacante convence a la víctima de instalar la aplicación maliciosa de Azure, podrá averiguar a qué organización pertenece la víctima, acceder a los archivos de la víctima, leer sus correos electrónicos, enviar correos electrónicos en nombre de la víctima (ideal para un ataque de phishing interno) y en general mucho más.

¿Qué son las aplicaciones de Azure?

Microsoft creó el Servicio de aplicaciones de Azure para permitir a los usuarios crear sus propias aplicaciones basadas en la nube que pueden llamar y usar las API y los recursos de Azure. Esto facilita la creación de potentes programas personalizados que se integran con el ecosistema de Microsoft 365.

Una de las API más comunes en Azure es la API de MS Graph . Esta API permite que las aplicaciones interactúen con el entorno del usuario, a saber: usuarios, grupos, documentos de OneDrive, buzones y chats de Exchange Online.

Del mismo modo que su teléfono iOS le preguntará si la aplicación puede permitir el acceso a sus contactos o ubicación, Azure le pedirá que otorgue acceso a la aplicación a los recursos necesarios. Obviamente, un atacante puede aprovechar esta oportunidad para otorgar fraudulentamente el acceso a una aplicación a uno o más recursos confidenciales de la nube.

Como es el ataque

Para realizar este ataque, el atacante debe tener la aplicación web en sí y el inquilino de Azure para alojarlo. Después de configurar la tienda, podemos comenzar una campaña de phishing usando el enlace para instalar la aplicación de Azure: el

enlace en el correo electrónico dirige al usuario a un sitio web controlado por atacantes (por ejemplo, myapp.malicious.com ), que, a su vez, redirige a la víctima a la página de inicio de sesión de Microsoft . Microsoft maneja completamente el proceso de autenticación, por lo que el uso de la autenticación multifactor no es una solución.

Tan pronto como el usuario ingrese a su instancia de O365, se creará un token para la aplicación maliciosa, y se le pedirá al usuario que inicie sesión y proporcione a la aplicación los permisos necesarios. Esto es lo que parece para el usuario final (y debería ser muy familiar si el usuario instaló previamente la aplicación en SharePoint o Teams):

Aquí están los permisos de la API de MS Graph que solicita el atacante en el código de nuestra aplicación:

Como puede ver, el atacante controla el nombre de la aplicación ("MicrosoftOffice" ) y acceso directo (utilizamos el acceso directo de OneNote). La URL es una URL válida de Microsoft, el certificado también es válido.

Sin embargo, el nombre del inquilino del atacante y un mensaje de advertencia se indican debajo del nombre de la aplicación, y ninguno de los dos puede ocultarse. La esperanza del atacante es que el usuario tenga prisa, vea un atajo familiar y omita esta información tan rápido y sin pensar como las notificaciones sobre los términos de uso.

Al hacer clic en "Aceptar", la víctima concede los permisos de nuestra aplicación en nombre de su cuenta, es decir, la aplicación podrá leer los correos electrónicos de la víctima y acceder a cualquier archivo al que tenga acceso.

Este paso es el único que requiere el consentimiento de la víctima, a partir de ahora el atacante tiene control total sobre la cuenta de usuario y los recursos .

Después de dar su consentimiento a la aplicación, la víctima será redirigida al sitio web de nuestra elección. Comparar el acceso reciente de los usuarios a los archivos y redirigirlos a uno de los documentos internos de SharePoint recientemente abiertos puede ser un buen truco para despertar un mínimo de sospecha.

Oportunidades recibidas

Este ataque es ideal para las siguientes actividades:

Inteligencia (obtener una lista de cuentas, grupos, objetos en el inquilino del usuario);
Phishing interno
Robo de datos de recursos de archivos y correo electrónico.

Para ilustrar el poder de nuestra aplicación Azure, creamos una consola divertida para mostrar los recursos a los que accedimos como parte de nuestra prueba PoC (prueba de concepto): la

sección "Yo" muestra los detalles de la víctima: la

sección "Usuarios" nos mostrará los metadatos anteriores para cada Un usuario individual en una organización, que incluye una dirección de correo electrónico, número de teléfono móvil, cargo y más, según los atributos del Active Directory de la organización. Esta llamada a la API por sí sola puede causar una violación masiva de las políticas de protección de datos personales, especialmente en el marco de GDPR y CCPA.

Sección de calendarionos muestra los eventos del calendario de la víctima. También podemos programar citas en su nombre, ver reuniones existentes e incluso eliminar reuniones futuras.

Quizás la sección más importante en nuestra aplicación de consola es la sección RecentFiles , que nos permite ver cualquier archivo al que haya accedido el usuario en OneDrive o SharePoint. También podemos cargar o modificar archivos (incluidos los archivos con macros maliciosas para desarrollar un ataque).

IMPORTANTE: cuando accedemos al archivo a través de esta API, Azure crea un enlace único. Este enlace es accesible para cualquier persona desde cualquier lugar, incluso si la organización no permite el intercambio anónimo de enlaces para usuarios comunes de 365.
Los enlaces API son especiales. Hablando francamente, no estamos seguros de por qué no están bloqueados por la política de la organización para el intercambio de enlaces; tal vez Microsoft no quiera romper las aplicaciones de usuario existentes en caso de un cambio de política. La aplicación puede solicitar un enlace de descarga o un enlace para modificar el archivo; en nuestro PoC solicitamos ambos.

La sección "Outlook" nos da acceso completo al correo electrónico de la víctima. Podemos ver los destinatarios de cualquier mensaje, filtrarlos por prioridad, enviar correos electrónicos (phishing interno) y mucho más.

Al leer los correos electrónicos de la víctima, podemos identificar el círculo de sus comunicaciones y los contactos más vulnerables de este círculo, enviar correos electrónicos internos de phishing en nombre de nuestra víctima y así desarrollar un ataque dentro de la organización. También podemos usar la dirección de correo electrónico y los contactos de la víctima de su círculo para filtrar los datos que encontramos en 365.

Además, Microsoft tiene una API que proporciona información sobre el círculo de comunicación actual de la víctima:

como mencionamos anteriormente, podemos modificar los archivos del usuario sujeto a derechos relevantes. Pero, ¿qué pasa si usamos la API para modificar archivos?

Una opción es convertir nuestra aplicación maliciosa de Azure en un programa de ransomware que cifra de forma remota los archivos que la víctima tiene acceso para modificar en SharePoint y OneDrive:

Sin embargo, este método de encriptación de archivos no es confiable (ya que algunos archivos pueden restaurarse usando configuraciones de respaldo más estrictas), pero los inquilinos con configuraciones predeterminadas corren el riesgo de perder datos permanentemente. Por otro lado, siempre podemos sacar datos confidenciales y amenazar con publicarlos, a menos que obtengamos un rescate.

Otras fuentes:

Kevin Mitnik introdujo un método de cifrado similar basado en la nube que se aplica a los buzones;
Krebs On Security también escribió una buena publicación sobre tal ataque en su blog.

Urgencia del problema

El conocimiento de esta técnica de phishing es relativamente bajo hoy en día. Muchos expertos no entienden el nivel potencial de daño que un atacante puede infligir debido a que solo un empleado de la organización proporcionó acceso a la aplicación maliciosa de Azure. Dar consentimiento a una aplicación de Azure no es muy diferente de ejecutar un archivo .exe malicioso o permitir que las macros se activen en un documento de un remitente desconocido. Pero, dado que este es un vector más nuevo que no requiere que se ejecute código en la máquina del usuario, es más difícil de detectar y bloquear.

¿Qué tal deshabilitar todas las aplicaciones de terceros?

Microsoft no recomienda establecer una prohibición a los usuarios para que otorguen permisos a las aplicaciones:
“Puede deshabilitar las aplicaciones integradas para su inquilino. Este es un paso radical que priva globalmente a los usuarios finales de la capacidad de dar su consentimiento a nivel de inquilino. Esto evita que sus usuarios otorguen accidentalmente acceso a una aplicación maliciosa. Esta no es una recomendación sólida, ya que perjudica seriamente la capacidad de sus usuarios para trabajar con aplicaciones de terceros ".

¿Cómo puedo detectar el abuso de las aplicaciones de Azure?

La forma más fácil de detectar permisos ilegales es realizar un seguimiento de los eventos de acceso en Azure AD y revisar periódicamente sus aplicaciones empresariales en el portal de Azure.

Siempre hazte preguntas:

¿Conozco esta aplicación?
¿Pertenece a una organización que conozco?

Para los clientes de Varonis: el módulo DatAlert tiene modelos de amenazas que detectan permisos maliciosos. También es posible crear sus propias reglas de notificación para compartir aplicaciones de Azure.

¿Cómo eliminar aplicaciones maliciosas?

En Azure Portal, vaya a la sección "Aplicaciones empresariales" de la pestaña "Azure Active Directory" y desinstale las aplicaciones. Un usuario común puede eliminar los permisos otorgados anteriormente yendo a myapps.microsoft.com , verificando las aplicaciones enumeradas allí y revocando los permisos según sea necesario.

Consulte las pautas oficiales de Microsoft para obtener instrucciones detalladas .

Uso de malware en Azure para obtener acceso a inquilinos de Microsoft 365