Microsoft observó un aumento en los ciberataques dirigidos a identidades en 2023
Microsoft observó un aumento en los ciberataques dirigidos a identidades en 2023, con intentos de ataques basados en contraseñas incrementándose más de diez veces en el primer trimestre de 2023 en comparación con el mismo período en 2022.
Los actores de amenazas aprovechan las identidades comprometidas para obtener un nivel significativo de acceso a las redes objetivo. El compromiso de una identidad, en ciertas circunstancias, podría permitir a los atacantes comprometer la instancia de la plataforma de identidad y llevar a cabo ataques maliciosos adicionales o incluso la destrucción del inquilino.
Microsoft Incident Response (IR) a menudo interviene en casos donde las organizaciones han perdido el control de su inquilino de Microsoft Entra ID (anteriormente Azure Active Directory), debido a una combinación de configuraciones incorrectas, supervisión administrativa, exclusiones a las políticas de seguridad o protección insuficiente de las identidades.
El equipo ha observado configuraciones incorrectas comunes tanto en Microsoft Entra ID como en Active Directory local en varios sectores industriales. Aunque Microsoft Entra ID difiere de Active Directory local en su funcionamiento y arquitectura, se pueden aplicar principios de respuesta a incidentes y endurecimiento de alto nivel similares a ambos.
Conceptos como el principio de privilegio mínimo administrativo, la revisión regular de los permisos de acceso y de aplicaciones, y la revisión de actividades son importantes para asegurar tanto Active Directory como Microsoft Entra ID.
Microsoft IR interactúa con cientos de clientes cada año, incluidas muchas de las organizaciones más grandes del mundo. Estas organizaciones pueden tener cientos de miles a millones de usuarios activos de Microsoft Entra ID y sistemas de identidad increíblemente complejos. Microsoft, presenta detalles sobre las configuraciones incorrectas comunes observadas en estas interacciones y proporciona orientación sobre cómo configurar correctamente Microsoft Entra ID para eliminar riesgos y fortalecer los entornos contra ciberataques. Este post está diseñado como una pieza complementaria de Microsoft Entra ID para un blog de Microsoft IR publicado anteriormente sobre lecciones aprendidas para asegurar Active Directory local.
- Configuraciones incorrectas de identidades híbridas
- Servicios de Federación de Active Directory comprometidos o sistemas de identidad federados equivalentes
- Sistemas de identidad complejos
- Cuentas de servicio sincronizadas comprometidas
- Robo de tokens de cuentas altamente privilegiadas
- Privilegios excesivos otorgados a los usuarios
- Privilegios excesivos otorgados a identidades de carga de trabajo
- Control de acceso a dispositivos deficiente
- Control de acceso a aplicaciones deficiente
- Permisos de privilegios administrativos delegados (DAP) mal configurados
- Política de Acceso Condicional mal configurada
- Phishing de OAuth y consentimiento
- Restablecimiento de contraseña autoservicio e ingeniería social en MFA
- Áreas de enfoque recomendadas para prevenir el compromiso de identidades
Para comprender un incidente comprometido y ayudar en las investigaciones, Microsoft IR recupera la configuración de Microsoft Entra ID leyendo los metadatos del inquilino desde Microsoft Graph API. Estos datos se utilizan tanto para investigar la actividad de los actores de amenazas como para ayudar a proporcionar recomendaciones para proteger Microsoft Entra ID. Además de los metadatos de configuración, también aprovecha las fuentes nativas de registro forense en la nube, como los datos de inicio de sesión y auditoría de Microsoft Entra ID; estas fuentes de datos están disponibles para cualquier organización que utilice Microsoft Entra ID. Herramientas de código abierto como el módulo PowerShell Microsoft Entra ID Response, desarrollado conjuntamente con el grupo de productos Microsoft Entra ID, o la herramienta untitled goose de CISA pueden recuperar estos mismos datos.
Además, Microsoft IR utiliza los datos de búsqueda avanzada de Microsoft 365 Defender, como los datos de registro de Microsoft Defender for Cloud Apps, y cualquier otra fuente de registro relevante que pueda tener un cliente. En casos de identidad híbrida, los registros de sistemas como Active Directory Federation Services (AD FS) o proveedores de autenticación multifactor (MFA) de terceros también son relevantes. Dependiendo de la naturaleza de la investigación, también puede ser necesario examinar las fuentes forenses de endpoints tradicionales.
