El nuevo ataque cibernético contra Microsoft roba tus inicios de sesión con enlaces que pocos podrían pensar que son falsos

Un grupo de atacantes cibernéticos ha encontrado la forma de robar los inicios de sesión de Microsoft. La técnica combina vínculos legítimos de office.com con los Servicios de Federación de Active Directory (ADFS) para redirigir a los usuarios hacia una página de phishing y así robar sus claves de acceso a Microsoft 365.

FERIA DE SAN FRANCISCO

De acuerdo con Bleeping Computer, gracias a este método, los atacantes pueden eludir la detección tradicional que se basa en URL. Incluso logran saltarse el proceso de autenticación multifactor al utilizar un dominio de Microsoft para la redirección inicial, que es considerada “válida” por los filtros de seguridad.

El reporte original proviene de Push Security, una empresa que vende soluciones de protección contra ataques basados en identidad. La firma estudió el ataque, que tenía como objetivo a varios de sus clientes y que redirigía a los trabajadores desde un enlace válido de outlook.office.com a un sitio de phishing.

Aunque la página de phishing era fácilmente detectable, lo interesante era la forma en que se llegaba a ella, pues se “respaldaba” en un dominio confiable que le permitía evadir las defensas.

La compañía determinó que este ataque inició cuando uno de los objetivos hizo clic en un enlace patrocinado malicioso en los resultados de búsqueda de Google para Office 365. La víctima fue redirigida al sitio de Microsoft Office, luego a un dominio intermedio (bluegraintours.com) y finalmente a otro sitio de phishing donde se recopilaban las claves de acceso.

Para la víctima, este movimiento habría parecido una simple redirección desde el dominio office.com de Microsoft, sin que hubiera ningún otro elemento de phishing visible.

Cómo funciona el ataque

Al analizar los incidentes, los investigadores encontraron que el atacante había configurado un “inquilino” de Microsoft personalizado con los Servicios de Federación de Active Directory (ADFS) para su autenticación y así verificar la identidad de un usuario. Esta es una solución de inicio de sesión único (Single Sign-On) de Microsoft que permite a los usuarios acceder a varias aplicaciones con un único conjunto de credenciales, y que funciona como una especie de “oficina privada y exclusiva de una organización”.

Este servicio continúa disponible en Windows Server 2025 y de momento no hay planes para descontinuarlo, aunque Microsoft ha invitado a sus clientes a migrar a Microsoft Entra ID (antes Azure Active Directory).

El sitio intermedio bluegraintours era prácticamente invisible para el usuario en la cadena de redirección. El atacante lo llenó de publicaciones de blog falsas para que pareciera legítimo ante cualquier escáner automatizado. Este dominio solo redirigía al sitio de phishing si la víctima era un objetivo específico; de lo contrario, la enviaba al sitio oficial de office.com.

Entre las diferentes recomendaciones de la compañía, además de la monitorización de redirecciones a ADFS, se sugiere que las empresas verifiquen los anuncios en las búsquedas de Google que apuntan a office.com, pues esto podría llevar a un eventual redireccionamiento a sitios maliciosos.

OBRAS DE INFRAESTRUCTURA HIDALGO

Cortesía de Xataka



Dejanos un comentario: