
En los últimos tiempos, la seguridad de las cuentas en la nube ha sido puesta a prueba por campañas de acceso no autorizado que aprovechan credenciales filtradas y configuraciones inapropiadas. Este artículo explora un caso reciente en el que se utilizaron técnicas de password-spraying para atacar cuentas de Microsoft 365, destacando cómo la debilidad estuvo en la implementación de políticas de acceso condicional y MFA (autenticación multifactor).\n\nQué ocurrió exactamente\n- Un ataque de password-spraying consiguió generar más de 81 millones de intentos de inicio de sesión durante un periodo de dos semanas, enfocándose en cuentas de Microsoft 365.\n- Los atacantes explotaron políticas de acceso condicional mal configuradas dentro del flujo de Resource Owner Password Credentials (ROPC) de OAuth, aprovechando la interfaz de línea de comandos de Azure (CLI) para eludir la autenticación cuando coincidía nombre de usuario y contraseña.\n- Huntress, una firma de ciberseguridad, observó la campaña y señaló que 78 cuentas de Microsoft en 64 organizaciones fueron comprometidas entre el 12 y el 26 de junio de 2026.\n\nLa vulnerabilidad clave: acceso sin autenticación completo\nEl éxito del ataque se redujo a la forma en que las organizaciones habían implementado las políticas de acceso condicional vinculadas a MFA. Aunque muchas empresas habían desplegado MFA a través de CAP (políticas de acceso condicional), el MFA no estaba configurado para cubrir este flujo específico utilizado por los atacantes.\n- ROPC se considera problemático porque no admite flujos de autenticación modernos como MFA o SSO. En este caso, ROPC envía la contraseña directamente al punto final de token sin un prompt MFA interactivo.\n- Varias organizaciones vulnerables no aplicaron MFA en absoluto, otras lo hicieron solo para ciertos grupos de usuarios (por ejemplo, administradores), o imponían MFA solo al intentar iniciar sesión desde ubicaciones no confiables. En algunos casos, MFA estaba en modo de reporte solamente, lo que significa que las políticas nunca se aplicaban efectivamente.\n\nMedidas recomendadas para mitigar este tipo de ataques\nHuntress propone varias mitigaciones prácticas para reducir la exposición ante incidentes similares:\n- Implementar MFA para Todos los Usuarios, Todas las Aplicaciones en la Nube y Todos los Tipos de Aplicaciones Cliente.\n- Restringir el uso de la aplicación Azure CLI para usuarios que no sean administradores.\n- Priorizar respuestas basadas en la validez de las credenciales, no en el volumen de intentos de spray.\n\nObservaciones y referencias\nEste análisis se apoya en informes de Huntress y cubre la dinámica de las credenciales filtradas que apuntan a grandes plataformas empresariales. Se recomienda revisar las guías de buenas prácticas de Microsoft sobre MFA, CAP y flujos de autenticación para evitar vectores similares en el futuro.\n\nFuente para más detalles: Huntress y cobertura adicional de seguridad digital.
from Latest from TechRadar https://ift.tt/y3SfCXk
via IFTTT IA