Cómo ver quién está intentando hackear su Office 365 y qué está intentando hackear

Imagen: Virgiliu Obada/Shutterstock

Cobertura de Windows de lectura obligada

Todos hemos experimentado spam y phishing de sistemas Office 365 infectados. Son un objetivo principal para los malhechores porque los mensajes de Exchange Online son altamente confiables y, al usar herramientas automatizadas desarrolladas por Microsoft, los piratas informáticos pueden enviar mensajes mediante programación en segundo plano utilizando la API de Microsoft Graph, mientras que el propietario de la cuenta comprometida lleva una cuenta Trabajando sin saber que su dirección de correo electrónico está funcionando para otra persona.

Mirar: Windows 10: Lista de comandos de voz para reconocimiento de voz y dictado (PDF gratuito) (República tecnológica)

Microsoft ha estado agregando más y más funciones de seguridad a Office 365 como parte de su plataforma Microsoft 365 e integrándola con herramientas de Azure Active Directory. Ahora está comenzando a mover la autenticación del modelo básico de autenticación HTTP relativamente inseguro a un enfoque más moderno basado en OAuth. Esto permite que Office 365 implemente la autenticación basada en inserción mediante la aplicación Microsoft Authenticator, lo que reduce los riesgos asociados con las contraseñas comprometidas.

Si bien la mayoría de las funciones de seguridad de Azure Active Directory requieren una cuenta empresarial de Microsoft 365, E3 o superior, aún puede obtener algunos beneficios de Azure Active Directory con una cuenta de Office 365. Vale la pena usar estas herramientas para comprender su exposición a los ataques drive-by, donde se utilizan técnicas como el rociado de diccionarios de contraseñas para acceder a cuentas poco protegidas.

Cómo usar mi inicio de sesión para detectar un ataque

Los usuarios pueden comprender claramente su exposición desde la página de su cuenta de Microsoft 365 u Office 365. Este es el portal de administración avanzada para los elementos de autoservicio de las cuentas comerciales de Office. Las cuentas de consumidores no obtienen este nivel de control porque se basan en la cuenta de Microsoft del usuario, que no tiene el mismo nivel de acceso a Azure Active Directory.

Verá muchas herramientas de seguridad integradas en la página Mi cuenta de Office 365; aquí puede administrar sus contraseñas y dispositivos, así como su configuración de privacidad. Sin embargo, vale la pena buscar en la sección Mis inicios de sesión, ya que allí encontrará una lista de inicios de sesión recientes e intentos de conexión. Es una herramienta útil porque muestra desde dónde alguien está tratando de iniciar sesión, a qué está tratando de conectarse y qué cuenta está tratando de comprometer.

Mirar: 83 trucos de Excel que todo usuario debe dominar (República tecnológica)

Al usar esta herramienta con mi propia cuenta, puedo ver algunos inicios de sesión legítimos desde mi navegador, mis aplicaciones de Office y varias extensiones de navegador de Microsoft que tengo instaladas. Sin embargo, también hubo un conjunto de intentos de inicio de sesión de Corea del Sur, Sudáfrica, Suecia, Brasil, Ucrania, China, Libia, República Checa, Estados Unidos, Argentina, Tailandia, Rusia, Vietnam, Japón y Colombia. Y eso es sólo en las últimas 24 horas.

Microsoft le proporciona la dirección IP del atacante, geolocaliza la dirección IP y muestra los detalles junto con un mapa. Si el servicio no está seguro de si el intento de inicio de sesión es realmente tuyo, lo bloqueará de forma predeterminada, pero verificará si eres tú. Aquí, está ayudando a entrenar un sistema de aprendizaje automático que ejecuta la seguridad de Azure Active Directory, así que continúe y marque aquellos que definitivamente no son suyos.

Si hay señales de que su cuenta se ha visto comprometida, la página Mi inicio de sesión le dará consejos sobre qué hacer. Se le recomendará que cambie su contraseña si es necesario.

Si bien esta página le brinda muchos detalles sobre su propia cuenta específica, los administradores necesitan más información para rastrear puntos finales potencialmente vulnerables y ver a qué usuarios se dirigen con mayor frecuencia.

Cómo obtener más detalles de Azure Active Directory

Aquí es donde puede comenzar a aprovechar las herramientas integradas en Azure Active Directory. Inicie sesión con una cuenta de administrador para ver todas las opciones disponibles para su inquilino. La sección que desea explorar es la sección Supervisión, accesible desde el panel izquierdo del portal de Azure Active Directory. Haga clic en Registros de inicio de sesión para ver una lista de todos los inicios de sesión de todos los usuarios.

La vista inicial se filtra parcialmente para mostrar solo las últimas 24 horas de actividad. Puede cambiarlo para mostrar los últimos 7 días o un intervalo personalizado. La tabla le brinda mucha información sobre cada interacción, mostrando si se han aplicado políticas y vistas separadas para inicios de sesión interactivos y no interactivos. Desde aquí puede ver a qué aplicaciones se accede y el tipo de autenticación que se utiliza. Si está utilizando la autenticación de múltiples factores, existe una buena posibilidad de que la autenticación de un solo factor sea sospechosa.

Cómo usar Excel para un análisis más profundo

Si bien el portal le brinda algunas opciones de filtrado adicionales, incluidos los campos que no se muestran en la interfaz de usuario del navegador, las investigaciones más detalladas pueden requerir herramientas como Excel o Power BI. Los datos pueden descargarse en formato CSV o JSON y entregarse en función de los filtros que establezca. Una buena opción para descargar grandes conjuntos de datos para su análisis es seleccionar la vista de 7 días. Este contiene detalles de todos sus inicios de sesión, interactivos y automáticos, y se puede filtrar en Excel usando su herramienta de tabla.

La primera vez que profundicé en los datos de Azure Active Directory, quedó claro que los atacantes estaban buscando los objetivos más fáciles, que en mi caso todavía tenían acceso a los extremos POP3 e IMAP de Exchange Online. Estos se pueden desactivar para todos los usuarios dentro de su inquilino, ya que tienden a ser innecesarios para la mayoría de las versiones de plataforma de Outlook. Si está utilizando usuarios autenticados modernos que pueden acceder a estos puntos finales, deberá generar contraseñas de aplicación, ya que no admiten la autenticación de dos factores. Esto reduce significativamente el riesgo porque son contraseñas de alta entropía generadas aleatoriamente que no necesitan almacenarse fuera de su aplicación.

Otros ataques incluyen intentos de usar conexiones SMTP autenticadas de Exchange Online. Lo más probable es que se trate de un spammer que busca una retransmisión abierta para retransmitir correo malicioso, así que asegúrese de bloquear el acceso SMTP. Algunas fallas de inicio de sesión no son maliciosas; vemos muchas fallas de inicio de sesión debido a errores de representación de JavaScript en el complemento del navegador Editor de Microsoft.

Las herramientas de seguridad integradas en Office 365 y Azure Active Directory contribuyen en gran medida a bloquear automáticamente sus servidores de correo electrónico. Aun así, vale la pena mirar los datos que generan. Puede ver qué cuentas están en mayor riesgo y detectar los servicios que los malhechores intentan aprovechar. Cuanto más pueda bloquear, menos tendrá de qué preocuparse, aunque una de las formas más fáciles de mantenerlos fuera de sus sistemas y cuentas es habilitar la autenticación de múltiples factores y hacerla obligatoria para todos los usuarios.