De acuerdo con la Agencia de Seguridad de Infraestructura y Seguridad Cibernética (CISA) de los EEUU, las organizaciones que han migrado sus servicios de correo electrónico a la nube, por ejemplo Microsoft Office 365, han ocasionado descuidos de seguridad que conducen a vulnerabilidades y compromisos de usuarios y buzones de correo electrónico.
En su publicación Observaciones de Seguridad Microsoft Office 365, la agencia CISA indica que la postura de seguridad general de las organizaciones se ha reducido por la combinación de configuraciones por dicha migración. Por ejemplo, la desactivación de la auditoría de buzón, del registro de auditoría unificado, de la autenticación multifactor en cuentas de administrador, entre otras.
Aunado a lo anterior, la mayoría de las organizaciones no cuentan con un equipo dedicado de seguridad de TI para centrarse en su seguridad en la nube, puntualiza la agencia CISA.
Ejemplos de vulnerabilidades de configuración:
- La autenticación multifactor para las cuentas de administrador no está habilitada de forma predeterminada: Las cuentas de los administradores globales de Azure Active Directory (Azure AD) en un entorno O365 tienen el nivel más alto de privilegios de administrador y sin embargo no tienen habilitada de forma predeterminada la autenticación multifactor (MFA), lo que podría permitir a un atacante mantener la persistencia durante la migración de usuarios a O365.
- Auditoría de buzón deshabilitada: El registro de las acciones que realizan los propietarios, delegados y administradores del buzón se encuentra desactivado para O365 anterior a enero de 2019. El registro de auditoría unificado de forma predeterminada tampoco es habilitado por O365 para registrar eventos de Exchange Online, SharePoint Online, OneDrive, Azure AD, Microsoft Teams, PowerBI y otros servicios O365.
- Sincronización de contraseña habilitada: Es posible crear una identidad AD que coincida con un administrador en Azure AD y crear una cuenta local con el mismo nombre de usuario. Al habilitar la sincronización de contraseña, la contraseña de la identidad AD local sobrescribe la contraseña en Azure AD. Si la identidad AD local se ve comprometida, entonces un atacante podría moverse a la nube cuando se produce la sincronización. Si bien Microsoft ha deshabilitado la capacidad de coincidir con ciertas cuentas de administrador a partir de octubre de 2018, las organizaciones pudieron haber realizado una coincidencia de cuenta de administrador antes de la deshabilitación de Microsoft, sincronizando así las identidades que pueden haber sido comprometidas antes de la migración. Además, las cuentas de usuario normales no están protegidas por esta capacidad deshabilitada.
- Autenticación no compatible por protocolos heredados: Los protocolos POP3, IMAP y SMTP no son compatibles con los métodos de autenticación modernos con funciones de MFA, dejando expuestas a las cuentas de correo electrónico en Internet con sólo el nombre de usuario y la contraseña como método de autenticación principal.
Recomendaciones
- Usar autenticación multifactorial.
- Habilitar el registro de auditoría unificado en el Centro de Seguridad y Cumplimiento.
- Habilitar la auditoría de buzones para cada usuario.
- Asegurar que la sincronización de contraseñas de Azure AD esté planificada y configurada correctamente, antes de migrar usuarios.
- Deshabilitar los protocolos de correo electrónico heredados si no son necesarios, o limitar su uso a usuarios específicos.