Lanzan un ataque masivo con millones de intentos de inicio de sesión para robar cuentas de Microsoft

Robar contraseñas es uno de los objetivos principales para los piratas informáticos y pueden utilizar muchas estrategias para ello. En este artículo nos hacemos eco de una campaña maliciosa observada por investigadores de seguridad de Huntress. Los atacantes están lanzando ataques masivos con millones de intentos de sesión de cuentas de Microsoft 365 y han logrado comprometer varias decenas.

Se trata de una campaña automatizada que explota la interfaz de línea de comandos de Azure de Microsoft y los flujos OAuth para comprometer cuentas, incluso si las organizaciones utilizan métodos de autenticación en dos pasos. El ataque apunta a contraseñas y también tokens de inicio de sesión.

Ataque masivo para robar cuentas de Microsoft

Según los investigadores de seguridad de Huntress, la campaña ha tenido su pico entre el 12 y el 26 de junio. En este periodo, los atacantes han lanzado más de 81 millones de intentos de inicio de sesión contra clientes de Huntress y al menos lograron comprometer 78 cuentas de Microsoft en 64 organizaciones distintas.

Al principio, las vulneraciones diarias fueron muy bajas, con entre dos y cuatro cuentas por día. En cambio, el día 22 aumentaron hasta 30 identidades, lo que marcó una escalada importante en esta campaña.

Además, Huntress ha informado de que el volumen de ataques de fuerza bruta contra credenciales de su base de clientes ha aumentado con fuerza en los últimos meses, ya que se ha multiplicado por 155 en el último medio año.

El hecho de que Azure haya sido el objetivo no es casualidad. Se trata de una de las plataformas cloud más utilizadas, muchas empresas almacenan allí información crítica y en caso de lograr acceder con éxito puede dar lugar a que el atacante controle Microsoft 365, OneDrive, Outlook o Teams.

Estos ataques demuestran que, aunque es muy importante activar la autenticación multifactor, también lo es configurarla correctamente y no cometer errores. Es imprescindible tener todo en orden para limitar el riesgo y poder proteger cuentas de todo tipo.

El mecanismo que burla la autenticación multifactor se conoce como OAuth ROPC. El ataque abusa del flujo OAuth 2.0 ROPC (Resource Owner Password Credentials), ya obsoleto, que permite enviar usuario y contraseña directamente al endpoint de tokens de Azure AD sin requerir un desafío MFA. Según Huntress, muchas organizaciones no tenían políticas de acceso condicional que cubrieran este flujo ni la aplicación de la CLI de Azure, lo que permitió a los atacantes obtener tokens de acceso válidos incluso con MFA habilitado en otros contextos.