El Equipo de Detección y Respuesta (DART, por sus siglas en inglés) de Microsoft advirtió de un aumento en el robo de tokens por parte de cibercriminales para comprometer los recursos corporativos al evadir la autenticación multifactor (MFA).
En estos ataques, los hackers comprometen un token emitido a un usuario que ya completó la MFA y vuelve a reproducirlo para obtener acceso desde un dispositivo diferente.
Los tokens son fundamentales para las plataformas de identidad de autorización abierta (OAuth) 2.0, incluido el directorio activo (AD) de Azure, cuyo objetivo es hacer que la autenticación de usuario sea más simple y rápida para los usuarios, pero de una manera resistente a los ataques de contraseña.
En una publicación de blog, DART calificó esta estrategia como una “táctica preocupante porque la experiencia necesaria para comprometer un token es muy baja, es difícil de detectar y pocas organizaciones tienen mitigaciones de robo de tokens en su plan de respuesta a incidentes”.
En 2019, el gerente de Programas del Grupo para la Seguridad y Protección de Identidad de Microsoft, Alex Weinert, señaló en un foro de la compañía que en comparación con los ataques de contraseña, los dirigidos a los autenticadores sin contraseña “son extremadamente raros”. Sin embargo, res años después esto ya cambió.
Trabajadores en modalidad híbrida o remota, los afectados
DART señaló que en el nuevo mundo del trabajo híbrido, con empleados que trabajan de forma remota, los usuarios pueden acceder a los recursos corporativos desde dispositivos personales o no administrados, lo que aumenta el riesgo de robo de tokens.
“Es probable que estos dispositivos no administrados tengan controles de seguridad más débiles que los administrados por organizaciones y, lo que es más importante, no son visibles para el área IT”.
Explicó que los usuarios pueden iniciar sesión tanto en sitios web personales como en aplicaciones corporativas al mismo tiempo, lo que permite a los atacantes comprometer los tokens que pertenecen a ambos.
Microsoft Security rastrea 35 familias de ransomware y 250 atacantes de Estado nación
Azure mitiga evasión a la autenticación multifactor
En cuanto a las mitigaciones, añadió el equipo de Microsoft, ya existen herramientas de código abierto disponibles públicamente para explotar el robo de tokens y el malware de robo de credenciales de productos básicos ya se ha adaptado para incluir esta técnica en su arsenal.
Detectar el robo de tokens puede ser difícil sin las protecciones adecuadas y la visibilidad de los puntos finales de autenticación, por ello describió varias mitigaciones para protegerse. Como ejemplo, se refirió al acceso a una aplicación web protegida por Azure AD.
Un usuario debe presentar un token válido, para el cual debe iniciar sesión con sus credenciales. En ese momento, según la política, es posible que deban completar la autenticación multifactor y luego presentar ese token a la aplicación web, que lo valida y permite el acceso.
