Los registros de inicio de sesión de Azure AD son inconsistentes con la documentación y crean confusión para los respondedores y las organizaciones
Por. Christopher Romano
Múltiples investigaciones y pruebas realizadas por el equipo de CrowdStrike Services identificaron inconsistencias en los registros de inicio de sesión de Azure AD que mostraban incorrectamente inicios de sesión exitosos a través del Protocolo de acceso al correo de Internet (IMAP) a pesar de estar bloqueado.
Los investigadores confían en estos registros para determinar la actividad de los actores de amenazas en investigaciones que a menudo implican consecuencias legales y reglamentarias para las organizaciones.
Este blog incluye recomendaciones que deben implementarse para bloquear la autenticación heredada en los inquilinos de Microsoft 365 para evitar que un actor de amenazas eluda controles más estrictos, como la autenticación multifactor (MFA).
Antecedentes
A medida que muchas organizaciones se mudan a la nube, CrowdStrike ha notado un aumento significativo en los ataques tanto oportunistas como dirigidos contra los recursos de la nube, con una gran cantidad de estos ataques dirigidos a la infraestructura de Microsoft 365 (M365) de las organizaciones, a menudo específicamente en torno a su servicio de correo electrónico empresarial, o Intercambio en línea. En varias investigaciones, CrowdStrike ha observado una incoherencia en el registro dentro de los eventos de inicio de sesión de Azure AD relacionados con el acceso al buzón de correo mediante protocolos de autenticación heredados dentro de M365. Este artículo destaca la incoherencia, muestra cómo CrowdStrike pudo replicarlo en un entorno de laboratorio y proporciona recomendaciones sobre los ajustes de configuración para ayudar a las organizaciones a proteger su entorno M365.
Al investigar actividades anómalas que involucran buzones de correo en Exchange Online, los investigadores de CrowdStrike observan una serie de fuentes de registros, incluidos el Registro de auditoría unificado y los registros de inicio de sesión de Azure AD, para establecer el alcance de la actividad. Es imperativo que estas fuentes de registro capturen información con precisión, ya que los investigadores confían en ellas para determinar la actividad de los actores de amenazas en investigaciones que a menudo implican consecuencias legales y reglamentarias para las organizaciones.
Protocolos de autenticación heredados
El Protocolo de acceso al correo de Internet (IMAP) y el Protocolo de oficina postal (POP) son los protocolos de autenticación más utilizados como parte de la autenticación heredada para recibir correo en los buzones. Estos protocolos dan como resultado la descarga local del contenido de un buzón al cliente desde donde se inició la solicitud de autenticación. Por lo tanto, cada vez que se ve que estos protocolos se usan en una investigación que involucra un compromiso de correo electrónico, se asume que la totalidad del contenido del buzón, que a menudo incluye información confidencial, ha sido extraído por el actor de la amenaza. El Protocolo simple de transferencia de correo (SMTP) es un protocolo de autenticación que se utiliza como parte de la autenticación heredada para enviar correo desde los buzones. Un actor de amenazas aprovechará una cuenta comprometida,
Configuración de arrendatario
En investigaciones recientes, CrowdStrike encontró un patrón de registro inexacto en los registros de inicio de sesión de Azure AD que parece indicar falsamente una sincronización de buzón a través de protocolos de autenticación heredados (IMAP o POP). Este patrón parece manifestarse en inquilinos de M365 que: no tienen una autenticación heredada configurada para bloquearse a través de una política de acceso condicional (CAP); tener POP e IMAP bloqueados en un nivel de buzón individual; y tener permitido el protocolo de autenticación SMTP a nivel de buzón.
Registros de inicio de sesión de Azure AD inexactos
En los inquilinos de Azure sin un CAP que bloquee la autenticación heredada, pero con IMAP bloqueado en el nivel del buzón de Exchange Online, CrowdStrike descubrió que los registros de inicio de sesión de Azure AD mostraban inicios de sesión exitosos a través de una aplicación cliente IMAP a pesar de que estaba bloqueada en el nivel del buzón. Este patrón de registro ocurrió cuando un cliente de correo de terceros, configurado para usar IMAP y SMTP, se usó para autenticarse en un buzón. Si bien el cliente pudo enviar correctamente un correo electrónico a través de SMTP, no pudo descargar el correo al sistema local a través de IMAP debido al bloqueo en el nivel del buzón. En otras palabras, la entrada de registro de Azure AD que mostraba un inicio de sesión correcto a través del protocolo IMAP no era precisa , ya que no se realizó la sincronización del correo.
Documentación de flujo de autenticación incorrecta
Si se siguió el flujo documentado, el intento de autenticación debería haberse bloqueado antes de llegar a Azure AD y, por lo tanto, los registros de inicio de sesión de Azure AD no deberían haberlo detectado. Sin embargo, como mostramos en la sección de prueba de concepto (POC) a continuación, el intento de autenticación aún se registra en los registros de inicio de sesión de Azure AD, a pesar de que supuestamente se bloqueó antes de llegar a Azure AD.
Este patrón de registro es inconsistente con el flujo de autenticación documentado de Microsoft :
Cuando está bloqueada, la autenticación básica en Exchange Online se bloquea en el primer paso de autenticación previa (Paso 1 en los diagramas anteriores) antes de que la solicitud llegue a Azure Active Directory o al IdP local. El beneficio de este enfoque es que los ataques de fuerza bruta o de rociado de contraseñas no llegarán al IdP (lo que podría desencadenar bloqueos de cuentas debido a intentos de inicio de sesión incorrectos).
Recreando la inconsistencia de registro
CrowdStrike configuró un entorno POC para demostrar esta incoherencia de registro con un buzón que tenía POP/IMAP deshabilitado en el nivel del buzón, pero aún permitía la autenticación SMTP (consulte la Figura 2).
El entorno de POC no tenía una política de acceso condicional de Azure AD que bloqueara la autenticación heredada. CrowdStrike usó Mozilla Thunderbird como un cliente de correo de terceros para acceder al buzón de correo de la víctima simulada con IMAP como protocolo seleccionado, como se muestra en la captura de pantalla de la Figura 3.
La autenticación con las credenciales dadas fue exitosa, pero no se permitió que el correo se sincronizara con el dispositivo del cliente local, como se ve en la Figura 4.
Sin embargo, los registros de inicio de sesión de Azure AD mostraron una autenticación exitosa mediante IMAP, como se muestra en la siguiente captura de pantalla.
El registro de auditoría unificado de M365 también muestra una autenticación correcta a través del agente de usuario de BAV2ROPC, lo que indica que se utilizó la autenticación básica (consulte la figura 6).
Como se muestra en la POC de CrowdStrike, el intento de autenticación del protocolo IMAP se registró como exitoso en el registro de inicio de sesión de Azure AD, pero el buzón de correo de la víctima nunca se sincronizó ni se descargó con éxito en la máquina cliente. Esta inconsistencia podría llevar a una organización víctima a concluir incorrectamente que el contenido del buzón afectado había sido filtrado por un actor de amenazas, un escenario que a menudo tiene implicaciones regulatorias y legales.
También cabe destacar que Microsoft deshabilitará la autenticación POP e IMAP en Exchange Online a partir del 1 de octubre de 2022 según su anuncio :
A partir del 1 de octubre de 2022, comenzaremos a deshabilitar de forma permanente la autenticación básica para Exchange Online en todos los inquilinos de Microsoft 365, independientemente del uso, excepto para la autenticación SMTP.
Recomendaciones para evitar la autenticación heredada
Las siguientes son recomendaciones para evitar el uso de protocolos de autenticación heredados. CrowdStrike recomienda estas acciones para minimizar el riesgo de que un actor de amenazas explote la debilidad inherente en la autenticación heredada que le permitiría obtener acceso a un buzón.
Habilite y aplique una política de acceso condicional que bloquee el acceso que utiliza la autenticación heredada para todas las aplicaciones cliente. Este bloqueo garantizará que los intentos de autenticación de los buzones mediante IMAP, POP o SMTP se bloqueen antes de llegar al buzón.
Asegúrese de que la autenticación básica esté deshabilitada en el nivel del buzón de correo, usando el Set-CASMailboxcmdlet de PowerShell en los buzones de correo individuales y en todo el inquilino usando los cmdlets Set-AuthenticationPolicyy . (Consulte https://docs.microsoft.com/en-us/exchange/clients-and-mobile-in-exchange-online/disable-basic-authentication-in-exchange-online )Set-TransportConfig
Habilite MailItemsAccessed en todos los buzones. La MailItemsAccessedoperación como parte de Microsoft Advanced Auditing puede ayudar a los investigadores a validar si un determinado buzón se ha descargado sin conexión a un sistema controlado por un actor de amenazas. Esta operación cubre la autenticación de los protocolos de autenticación heredados y modernos, y registra tanto la sincronización (acciones de descarga) como el enlace (acciones de visualización). (Consulte: https://docs.microsoft.com/en-us/microsoft-365/compliance/mailitemsaccessed-forensics-investigations?view=M365-worldwide)
Conclusión
CrowdStrike pudo demostrar que en los inquilinos de Azure donde IMAP/POP estaba bloqueado en el nivel del buzón de Exchange Online, pero no había CAP para bloquear la autenticación heredada, los intentos de autenticación SMTP se registraban incorrectamente como inicios de sesión a través de IMAP. Este patrón de registro podría llevar a las organizaciones a concluir erróneamente que el contenido del buzón de correo se había descargado en un dispositivo cliente controlado por un tercero malintencionado, cuando en realidad la configuración establecida habría bloqueado cualquier intento de descarga.
Para garantizar que se mitiguen las amenazas que surgen de la autenticación heredada, CrowdStrike recomienda que las organizaciones habiliten y apliquen un CAP que bloquee la autenticación heredada en todas las aplicaciones cliente; deshabilite la autenticación básica tanto en el nivel de buzón de Exchange Online individual como en todo el inquilino; y para mejorar las capacidades de supervisión, habilite la operación MailItemsAccessed en todos los buzones de correo de Exchange Online.
Fuente: https://www.crowdstrike.com/blog/crowdstrike-services-identifies-logging-inconsistencies-in-microsoft-365/
Comments