Ataque del Servicio de Inteligencia Extranjero Ruso (SVR) a Microsoft 365
January 21, 2021 - Reading time: 2 minutes

Mandiant (Ciberseguridad, artículo en inglés) ha publicado un pdf explicando los métodos utilizados por el SVR para atacar Microsoft 365 como parte del ataque a SolarWinds (Wikipedia en inglés)

Descargar PDF

Tácticas de los atacantes (traducción)

  1. Robar el certificado de AD FS (Active Directory Federation Services) que se utiliza para firmar otros tokens lo que permite a los atacantes autenticarse en un servicio federado (como Microsoft 365) con cualquier usuario sin necesidad de contraseña u otros tipos de autenticación (autenticación multifactor)
  2. Modificar o añadir dominios de confianza en Azure AD para añadir una nueva identidad controlada por el atacante lo cual permite al atacante crear tokens para usuarios (puerta trasera en Azure AD)
  3. Comprometer las credenciales de usuarios sincronizados con Microsoft 365 y con permisos de alto nivel como Administradores Globales.
  4. Apropiarse de aplicaciones existentes en Microsoft 365 añadiendo una credencial clandestina para legitimizar los permisos asignados a dicha aplicación, como la habilidad para leer correos electrónicos, enviarlos con una cuenta de usuario, acceder a calendarios, todo esto sin necesidad de utilizar autenticación multifactor

About

I am a system administrator, everything is hosted in my home.
I document my projects here, sometimes I will write about other things.