Fri, Nov 12, 2021
Para la mayoría de los usuarios, Microsoft Exchange Online solo es una aplicación para acceder a sus buzones de correo. Sin embargo, todos los usuarios tienen por defecto la posibilidad de acceder a un sistema llamado Exchange Online PowerShell. Esta funcionalidad, diseñada originalmente para facilitar el trabajo a los administradores de Tecnologías de la Información (TI), permite al usuario realizar acciones programáticas en entornos Microsoft 365 (M365). Las acciones específicas que pueda realizar el usuario dependerán enteramente de los roles asignados al usuario.
A lo largo de sus investigaciones sobre ciberataques del tipo BEC (Business Email Compromise) en entornos M365, Kroll ha observado casos exitosos de inicio de sesión que indican que algunos atacantes aprovechan Exchange Online PowerShell para conseguir interactuar de manera automática con los buzones y cuentas de usuario atacados.
Kroll ha identificado los siguientes indicadores como probable evidencia de un intento de inicio de sesión en Exchange Online PowerShell:
La nueva versión del módulo Exchange Online PowerShell V2, que Microsoft recomienda utilizar para las conexiones con Exchange Online, produce cadenas de texto de agente de usuario que no mencionan PowerShell ni WinRM. En su lugar, las cadenas de texto de agente de usuario registrados hacen referencia a Internet Explorer 11. Las anotaciones que mencionan WinRM suelen estar generadas por módulos más antiguos de PowerShell que podrían utilizar "Basic Auth" o autenticación básica.
Los actores de amenazas pueden aprovechar Exchange Online PowerShell para desplegar rápidamente reglas de bandeja de entrada maliciosas y configurar el reenvío de direcciones SMTP. Si bien el potencial impacto de un inicio de sesión en Exchange Online PowerShell por parte de una cuenta comprometida de usuario sin privilegios se limita al buzón de ese usuario, los usuarios comprometidos con ciertos roles adicionales pueden suponer un riesgo para todos los usuarios del entorno.
Un usuario con permisos por defecto podría ser capaz de efectuar las siguientes acciones, habituales en los actores de amenazas, tras haber iniciado sesión utilizando PowerShell:
Ilustración 1: Ejemplo de regla de bandeja de entrada maliciosa que redirige los emails que contienen determinadas palabras clave a la carpeta de la papelera.
Ilustración 2: Regla maliciosa resultante en el buzón del usuario.
Un usuario con permisos de mayor nivel podría realizar algunas (o todas) las acciones siguientes, dependiendo del rol o roles que tuviera asignados:
Ilustración 3: Ejemplo de regla maliciosa de reenvío que envía una copia de todos los mensajes recibidos a otro buzón de entrada, para todos los buzones de correo a los que tiene acceso el usuario comprometido.
Obsérvese que algunas de las capacidades ampliadas ya mencionadas pueden requerir de módulos PowerShell distintos de aquellos que proporcionan acceso a Exchange Online. A fecha del presente informe, Kroll ha determinado que no es posible para un usuario exportar el resultado de una búsqueda de cumplimiento excepto si disfruta del rol “Export”, el cual va incluido por defecto en el grupo de roles “eDiscovery Manager”. Por consiguiente, debido a este requisito, Kroll no ha identificado el riesgo de que un actor de amenazas pueda extraer el contenido de un buzón de usuario tras una conexión con Exchange Online PowerShell si el usuario no tiene privilegios.
Dado que la mayor parte de los usuarios no tienen necesidad comercial de utilizar Exchange Online PowerShell, los administradores de TI podrían plantearse simplemente deshabilitar la prestación para todos los usuarios, excepto para aquellos que la necesiten con fines de administración (cómo deshabilitar Exchange Online PowerShell).
Cuando esté habilitada la autenticación multifactor (MFA) para todos los métodos de autenticación, los actores de amenazas se verán obligados a recurrir a un token MFA para acceder a Exchange Online PowerShell.
A corto plazo, las organizaciones pueden protegerse de la explotación indebida de Exchange Online PowerShell haciendo que sus empleados habiliten MFA y restringiendo los permisos de usuario según una política de “menos privilegios”. No obstante, este es solo un ejemplo de cómo los actores de amenazas explotan herramientas y prestaciones legítimas de software con propósitos maliciosos. Combinado con el malware y con las tácticas de los actores de amenazas, cada día más sofisticadas, resulta crucial atajar los cíber-desafíos lo antes posible.