Logo

Seleccione idioma

Spanish

Down Icon

Seleccione país

England

Down Icon

Inicio de sesión heredado en Microsoft Entra ID explotado para vulnerar cuentas en la nube

Inicio de sesión heredado en Microsoft Entra ID explotado para vulnerar cuentas en la nube

Una falla en el inicio de sesión heredado de Microsoft Entra ID permitió a los atacantes eludir la MFA y apuntar a cuentas de administrador en los sectores de finanzas, atención médica y tecnología.

La empresa de ciberseguridad Guardz ha descubierto una campaña dirigida que explota una debilidad en los protocolos de autenticación heredados de Microsoft Entra ID, lo que permite a los atacantes eludir medidas de seguridad modernas como la autenticación multifactor ( MFA ).

Los ataques, que ocurrieron entre el 18 de marzo y el 7 de abril de 2025, utilizaron la autenticación básica versión 2 – Credencial de contraseña del propietario del recurso ( BAV2ROPC ), un método de inicio de sesión heredado, para obtener acceso no autorizado, lo que destaca los peligros de la autenticación obsoleta en entornos de nube.

Esta campaña, según el informe de Guardz, compartido con Hackread.com, estaba dirigida a diversos sectores, incluidos servicios financieros, atención médica, manufactura y servicios tecnológicos.

Este incidente se produce tras los bloqueos generalizados de cuentas de Microsoft Entra ID reportados por Hackread.com en abril de 2025, causados ​​por un error interno de Microsoft con los tokens de actualización y la aplicación MACE Credential Revocation. Si bien el informe de Hackread detalló bloqueos involuntarios debidos a un problema interno, el descubrimiento de Guardz destaca una explotación deliberada de las vulnerabilidades de Entra ID por parte de actores maliciosos.

La Unidad de Investigación Guardz (GRU) descubrió que los actores de amenazas estaban explotando activamente BAV2ROPC, una función de compatibilidad dentro de Entra ID que permite que las aplicaciones más antiguas se autentiquen usando nombres de usuario y contraseñas simples.

A diferencia de los procesos de inicio de sesión interactivos contemporáneos que exigen MFA y otras comprobaciones de seguridad, BAV2ROPC funciona de forma no interactiva. Esta diferencia crucial permite a los atacantes eludir por completo la MFA, las políticas de acceso condicional e incluso las alertas de inicio de sesión y la verificación de presencia del usuario, inutilizando estas protecciones modernas.

El ataque ocurrió en dos fases distintas, comenzando con una fase de “Inicialización” entre el 18 y el 20 de marzo, caracterizada por una menor intensidad de sondeo, con un promedio de alrededor de 2.709 intentos de inicio de sesión sospechosos diarios.

A esto le siguió una fase de "Ataque Sostenido", del 21 de marzo al 3 de abril, que se caracterizó por un drástico aumento de la actividad, alcanzando más de 6444 intentos diarios (un impresionante aumento del 138%). Esta escalada indicó un claro cambio hacia la explotación agresiva de las vulnerabilidades identificadas.

Guardz Research rastreó más de 9000 intentos sospechosos de inicio de sesión en Exchange, principalmente en Europa del Este y la región Asia-Pacífico. La campaña incluyó la pulverización automática de credenciales y tácticas de fuerza bruta, centrándose en endpoints antiguos expuestos.

Los ataques se dirigieron a varios vectores de autenticación heredados, y más del 90 % a Exchange Online y a la biblioteca de autenticación de Microsoft, incluido un enfoque significativo en las cuentas de administrador.

Las cuentas de administrador fueron un enfoque específico. Un subconjunto recibió casi 10,000 intentos desde 432 IP en 8 horas " , escribió Elli Shlomo de Guardz en su blog .

Si bien la campaña ha remitido, Guardz advierte que la vulnerabilidad persiste en muchas organizaciones que aún dependen de protocolos como BAV2ROPC, SMTP AUTH, POP3 e IMAP4 para su compatibilidad. Estos métodos eluden la MFA , ignoran el acceso condicional y permiten inicios de sesión silenciosos y no interactivos, creando así una "puerta trasera oculta", señalaron los investigadores.

Dor Eisner, director ejecutivo y cofundador de Guardz, destacó la gravedad de este problema y afirmó: “Esta campaña es una llamada de atención, no solo sobre una vulnerabilidad, sino sobre la necesidad más amplia de retirar tecnologías obsoletas que ya no responden al panorama de amenazas actual”.

Para mitigar los riesgos, Guardz insta a las organizaciones a auditar y deshabilitar de inmediato la autenticación heredada, aplicar la autenticación moderna con MFA, implementar políticas de acceso condicional para bloquear flujos no compatibles y monitorear de cerca la actividad de inicio de sesión inusual.

HackRead

HackRead

Noticias similares

Todas las noticias
Animated ArrowAnimated ArrowAnimated Arrow
Las pantallas de radar se apagan nuevamente en el aeropuerto de Newark
gizmodo

Las pantallas de radar se apagan nuevamente en el aeropuerto de Newark

¿Qué estás comprando en pánico antes de que suban los precios de los aranceles?
gizmodo

¿Qué estás comprando en pánico antes de que suban los precios de los aranceles?

Un ataque de phishing utiliza URI de blob para mostrar páginas de inicio de sesión falsas en su navegador
HackRead

Un ataque de phishing utiliza URI de blob para mostrar páginas de inicio de sesión falsas en su navegador

El altavoz Head Cushion de Razer busca hacer que las sillas gaming sean más inmersivas
gizmodo

El altavoz Head Cushion de Razer busca hacer que las sillas gaming sean más inmersivas

"El presidente no tiene ni idea de lo que habla": Trump critica la Ley de Equidad Digital, calificándola de "racista" e "inconstitucional".
gizmodo

"El presidente no tiene ni idea de lo que habla": Trump critica la Ley de Equidad Digital, calificándola de "racista" e "inconstitucional".