Los ataques a la nube están pasando por alto el MFA, advierten los federales - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Los ataques a la nube están pasando por alto el MFA, advierten los federales

Hola otra vez. Te habla Eduardo Arroyo y hoy hablaremos sobre Los ataques a la nube están pasando por alto el MFA, advierten los federales

Los ataques a la nube están pasando por alto el MFA, advierten los federales

CISA ha emitido un aviso advirtiendo que los servicios en la nube en las organizaciones de los EE. UU. Son un objetivo activo y exitoso.

Los federales advierten que los ciberdelincuentes están eludiendo la autenticación multifactor (MFA) y atacando con éxito los servicios en la nube de varias organizaciones estadounidenses.

Según una advertencia emitida el miércoles por la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), ha habido «varios ataques cibernéticos exitosos recientes» centrados en comprometer la nube. La mayoría de los ataques son oportunistas y se aprovechan de la mala higiene cibernética y las malas configuraciones de la nube, según la agencia.

«Este tipo de ataques ocurrieron con frecuencia cuando los empleados de las organizaciones víctimas trabajaban de forma remota y usaban una combinación de computadoras portátiles y dispositivos personales de la empresa para acceder a sus respectivos servicios en la nube», señaló la advertencia. «A pesar del uso de herramientas de seguridad, las organizaciones afectadas por lo general tenían prácticas débiles de higiene cibernética que permitían a los actores de amenazas realizar ataques con éxito».

Por ejemplo, en un caso, una organización no requirió una red privada virtual (VPN) para que los empleados remotos accedan a la red corporativa.

«Aunque su servidor de terminal estaba dentro del firewall, debido a la postura de trabajo remoto, el servidor de terminal se configuró con el puerto 80 abierto para permitir que los empleados remotos accedan a él, dejando la red de la organización vulnerable [to brute-forcing]», Explicó CISA.

La agencia también señaló que el phishing y posiblemente un ataque de «pasar la cookie» eran los principales vectores de ataque para los ataques en la nube.

En el frente del phishing, los objetivos reciben correos electrónicos que contienen enlaces maliciosos, que pretenden dirigir a los usuarios a un «mensaje seguro». Otros correos electrónicos se disfrazan como advertencias de servicios legítimos de alojamiento de archivos. En ambos casos, los enlaces dirigen a los objetivos a una página de phishing, donde se les pide que proporcionen las credenciales de su cuenta. Los ciberdelincuentes los recopilan y los utilizan para acceder a los servicios en la nube.

«CISA observó el acceso de actores desde lugares extranjeros (aunque los actores podrían haber usado un proxy o The Onion Router (Tor) para ofuscar su ubicación)», según el aviso. “Los actores luego enviaron correos electrónicos desde la cuenta del usuario para hacer phishing a otras cuentas dentro de la organización. En algunos casos, estos correos electrónicos incluían enlaces a documentos dentro de lo que parecía ser el servicio de alojamiento de archivos de la organización «.

Mientras tanto, los atacantes pudieron eludir el MFA utilizando un Ataque «Pase la cookie». Las cookies del navegador se utilizan para almacenar información de autenticación del usuario para que un sitio web pueda mantener a un usuario conectado. La información de autenticación se almacena en una cookie después de que se cumple la prueba MFA, por lo que no se le solicita al usuario una verificación MFA nuevamente.

Por lo tanto, si los atacantes extraen las cookies correctas del navegador, pueden autenticarse como un usuario objetivo en una sesión separada del navegador, sin pasar por todos los puntos de control de MFA. Como se explicó en un mensaje reciente de Stealthbits, un atacante tendría que convencer a un usuario de que haga clic en un correo electrónico de phishing o comprometa el sistema del usuario, después de lo cual el código se puede ejecutar en la máquina. Un comando simple permitiría a un atacante extraer la cookie adecuada.

CISA dijo que también observó a los actores de amenazas, el compromiso posterior al inicio, la recopilación de información confidencial utilizando reglas de reenvío de correo electrónico.

Las reglas de reenvío permiten a los usuarios enviar correos electrónicos de trabajo a sus cuentas de correo electrónico personales, una función útil para los trabajadores remotos.

CISA dijo que ha observado que los actores de amenazas modifican una regla de correo electrónico existente en la cuenta de un usuario para redirigir los correos electrónicos a cuentas controladas por atacantes.

«Los autores de amenazas también cambiaron las reglas existentes para buscar en los mensajes de correo electrónico de los usuarios (asunto y cuerpo) diferentes palabras clave relacionadas con las finanzas (que estaban mal escritas) y reenviar los correos electrónicos a la cuenta de los autores. amenazas «, según la agencia. “Los actores de la amenaza [also] creó nuevas reglas de buzón que reenvían ciertos mensajes recibidos de los usuarios (específicamente, mensajes con ciertas palabras clave relacionadas con el phishing) a las fuentes RSS de los usuarios legítimos o la carpeta de suscripciones RSS en un intento de evitar que se muestren alertas usuarios legítimos.

La adopción de la nube, impulsada por los lugares de trabajo pandémicos, solo se acelerará el próximo año con los procesos de software como servicio alojados en la nube y el archivo asumiendo el control. Un estudio de Rebyc encontró que el 35% de las empresas encuestadas dijeron que querían acelerar la migración de cargas de trabajo a la nube en 2021.

Según Gartner, las asignaciones presupuestarias de seguridad en la nube se duplicarán a medida que las empresas busquen proteger las acumulaciones en la nube en el próximo año.

«[Companies] transferir la responsabilidad y el trabajo de administrar la infraestructura de hardware y software a los proveedores de la nube, aprovechar la economía de la elasticidad de la nube, beneficiarse del ritmo de la innovación en sincronización con los proveedores de la nube pública y más «, dijo David Smith, distinguido vicepresidente de análisis de Gartner.

Como resultado, las aplicaciones y los entornos en la nube se encuentran cada vez más en la mira de los atacantes. En diciembre, por ejemplo, la Agencia de Seguridad Nacional emitió una advertencia de que los actores de amenazas han desarrollado técnicas para explotar las vulnerabilidades en el acceso a la red local para comprometer la nube.

«Los actores cibernéticos maliciosos están abusando de la confianza en los entornos de autenticación federados para acceder a datos protegidos», decía la advertencia. “La explotación ocurre después de que los actores hayan obtenido acceso inicial a la red local de la víctima. Los actores aprovechan el acceso privilegiado en el entorno local para subvertir los mecanismos que utiliza la organización para otorgar acceso a la nube y los recursos locales y / o comprometer las credenciales de administrador con la capacidad de administrar los recursos de la nube «.

¿Está la cadena de suministro de software de su empresa lista para un ataque? El miércoles 20 de enero a las 2 p.m. ET, comience a identificar los puntos débiles en su cadena de suministro con consejos prácticos de expertos, parte de un seminario web de participación limitada y LIVE Threatpost. Se invita a CISO, AppDev y SysAdmin a preguntar a un grupo de expertos en ciberseguridad de primer nivel cómo pueden evitar quedar atrapados en un mundo posterior al hack de SolarWinds. La asistencia es limitada: y reserve un asiento para este seminario web exclusivo de Threatpost Supply Chain Security: 20 de enero a las 2 p.m. ET.

.

Deberías compartir en en tu Twitter y Facebook para que tus amigos lo consulten

??? ? ? ???

Comparte