Cerrar menu

Inseguridad en Microsoft Office 365


0

Inseguridad en Microsoft Office 365En este tutorial les mostraremos algunas observaciones de seguridad de Microsoft Office 365 desde la Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA).

Resumen


A medida que aumenta el número de organizaciones que migran servicios de correo electrónico a Microsoft Office 365 (O365) y otros servicios en la nube, también aumenta el uso de compañías de terceros que mueven las organizaciones a la nube. Las organizaciones y sus socios externos deben ser conscientes de los riesgos involucrados en la transición a O365 y otros servicios en la nube.

Este informe de análisis proporciona información sobre estos riesgos, así como sobre las vulnerabilidades de configuración de los servicios en la nube; Este informe también incluye recomendaciones para mitigar estos riesgos y vulnerabilidades.

Descripción


Desde octubre de 2018, la Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA) ha llevado a cabo varios compromisos con clientes que han utilizado socios externos para migrar sus servicios de correo electrónico a O365.

Las organizaciones que usaron un tercero han tenido una combinación de configuraciones que redujeron su postura de seguridad general (por ejemplo, auditoría de buzón deshabilitada, registro de auditoría unificado deshabilitado, autenticación multifactor deshabilitada en cuentas de ). Además, la mayoría de estas organizaciones no tenían un equipo de seguridad de TI dedicado para centrarse en su seguridad en la nube. Estos descuidos de seguridad han llevado a compromisos y vulnerabilidades de s y buzones.

Detalles técnicos


La siguiente lista contiene ejemplos de vulnerabilidades de configuración:

  • La autenticación multifactor para cuentas de no está habilitada de manera predeterminada: los es globales de Azure Active Directory (AD) en un entorno O365 tienen el nivel más alto de privilegios de en el nivel de inquilino. Esto es equivalente al de dominio en un entorno AD local. Las cuentas de global de Azure AD son las primeras cuentas creadas para que los es puedan comenzar a configurar su inquilino y eventualmente migrar a sus s. La autenticación multifactor (MFA) no está habilitada de manera predeterminada para estas cuentas. [1] Hay una política predeterminada de condicional disponible para los clientes, pero el global debe habilitar explícitamente esta política para habilitar MFA para estas cuentas. Estas cuentas están expuestas al a Internet porque están basadas en la nube. Si no se asegura de inmediato, estas cuentas basadas en la nube podrían permitir que un atacante mantenga la persistencia a medida que un cliente migra s a O365.
  • Auditoría del buzón deshabilitada: la auditoría del buzón O365 registra las acciones que realizan los propietarios, delegados y es del buzón. Microsoft no habilitó la auditoría de forma predeterminada en O365 antes de enero de 2019. Los clientes que adquirieron su entorno O365 antes de 2019 tuvieron que habilitar explícitamente la auditoría de buzones. [2] Además, el entorno O365 actualmente no habilita el registro de auditoría unificado de forma predeterminada. El registro de auditoría unificado contiene eventos de Exchange Online, SharePoint Online, OneDrive, Azure AD, Microsoft Teams, PowerBI y otros servicios de O365. [3] Un debe habilitar el registro de auditoría unificado en el Centro de seguridad y cumplimiento antes de que se puedan ejecutar consultas.
  • Sincronización de contraseña habilitada: Azure AD Connect integra entornos locales con Azure AD cuando los clientes migran a O365. [4] Esta tecnología proporciona la capacidad de crear identidades de Azure AD a partir de identidades de AD locales o para hacer coincidir las identidades de Azure AD creadas previamente con las identidades de AD locales. Las identidades locales se convierten en identidades autorizadas en la nube. Para hacer coincidir las identidades, la identidad de AD debe coincidir con ciertos atributos. Si coincide, la identidad de Azure AD se marca como istrada localmente. Por lo tanto, es posible crear una identidad de AD que coincida con un en Azure AD y crear una cuenta local con el mismo nombre de . Una de las opciones de autenticación para Azure AD es "Sincronización de contraseña". Si esta opción está habilitada, la contraseña de las instalaciones locales sobrescribe la contraseña en Azure AD. En esta situación particular, si la identidad AD local se ve comprometida, Nota: Microsoft ha deshabilitado la capacidad de hacer coincidir ciertas cuentas de a partir de octubre de 2018. Sin embargo, las organizaciones pueden haber realizado una coincidencia de cuenta de antes de que Microsoft desactive esta función, sincronizando así las identidades que pueden haber sido comprometidas antes de la migración. Además, las cuentas de normales no están protegidas por esta capacidad que se deshabilita.
  • Autenticación no compatible con protocolos heredados: Azure AD es el método de autenticación que utiliza O365 para autenticarse con Exchange Online, que proporciona servicios de correo electrónico. Existen varios protocolos asociados con la autenticación de Exchange Online que no son compatibles con los métodos de autenticación modernos con funciones MFA. Estos protocolos incluyen el protocolo de oficina postal (POP3), el protocolo de a mensajes de Internet (IMAP) y el protocolo simple de transporte de correo (SMTP). Los protocolos heredados se usan con clientes de correo electrónico más antiguos, que no iten la autenticación moderna. Los protocolos heredados se pueden deshabilitar a nivel de inquilino o a nivel de . Sin embargo, si una organización requiere clientes de correo electrónico más antiguos como una necesidad comercial, estos protocolos no se desactivarán. Esto deja a las cuentas de correo electrónico expuestas a Internet con solo el nombre de y la contraseña como método de autenticación principal. Un enfoque para mitigar este problema es hacer un inventario de los s que aún requieren el uso de un cliente de correo electrónico heredado y protocolos de correo electrónico heredados. El uso de las políticas de condicional de Azure AD puede ayudar a reducir la cantidad de s que tienen la capacidad de usar métodos de autenticación de protocolos heredados. Dar este paso reducirá en gran medida la superficie de ataque para las organizaciones. [5]

Solución



CISA alienta a las organizaciones a implementar una estrategia de nube de organización para proteger sus activos de infraestructura a través de la defensa contra ataques relacionados con su transición O365 y O365 asegurar su servicio. [6] Específicamente, CISA recomienda que los es implementen las siguientes mitigaciones y mejores prácticas:

  • Use autenticación multifactor. Esta es la mejor técnica de mitigación para proteger contra el robo de credenciales para s de O365.
  • Habilite el registro de auditoría unificado en el Centro de seguridad y cumplimiento.
  • Habilite la auditoría de buzones para cada .
  • Asegúrese de que la sincronización de contraseña de Azure AD esté planificada y configurada correctamente, antes de migrar s.
  • Desactive los protocolos de correo electrónico heredados, si no es necesario, o limite su uso a s específicos.

Referencias


Revisiones


03 de Diciembre de 2019: versión inicial

Sobre mi: Mi nombre es Alexander y soy el fundador y CEO de este sitio. Me gusta considerarme un Geek entusiasta de la informática y la tecnología. Esta pasión me llevó a crear este sitio con el fin de compartir conocimientos en línea a través de cursos, tutoriales y videotutoriales. Estoy muy agradecido por el trabajo realizado hasta el momento y me siento muy entusiasmado con toda la información que he descubierto y compartido con otros. Estoy comprometido a seguir compartiendo mi conocimiento con la mayor de las dedicaciones. Leer mas...
Tutoriales en línea

Artículos Relacionados



Comentarios



Información
s que no esten registrados no pueden dejar comentarios, te invitamos a que te registre!