Para la mayoría de los usuarios, Microsoft Exchange Online solo es una aplicación para acceder a sus buzones de correo. Sin embargo, todos los usuarios tienen por defecto la posibilidad de acceder a un sistema llamado Exchange Online PowerShell. Esta funcionalidad, diseñada originalmente para facilitar el trabajo a los administradores de Tecnologías de la Información (TI), permite al usuario realizar acciones programáticas en entornos Microsoft 365 (M365). Las acciones específicas que pueda realizar el usuario dependerán enteramente de los roles asignados al usuario.
A lo largo de sus investigaciones sobre ciberataques del tipo BEC (Business Email Compromise) en entornos M365, Kroll ha observado casos exitosos de inicio de sesión que indican que algunos atacantes aprovechan Exchange Online PowerShell para conseguir interactuar de manera automática con los buzones y cuentas de usuario atacados.
Identificación de casos de autenticación en Exchange Online PowerShell
Kroll ha identificado los siguientes indicadores como probable evidencia de un intento de inicio de sesión en Exchange Online PowerShell:
- Líneas de registro de inicio de sesión en Azure con un “App Display Name ” de Microsoft Exchange Online Remote PowerShell.
- Líneas de Registros de Auditoría Unificados, en los que los strings de agente de usuario mencionan:
- Microsoft WinRM Client
- Microsoft.Exchange.PowerShell
- Líneas de Registros de Auditoría Unificados, con cadenas de texto de agente de usuario atribuibles a Internet Explorer 11.
La nueva versión del módulo Exchange Online PowerShell V2, que Microsoft recomienda utilizar para las conexiones con Exchange Online, produce cadenas de texto de agente de usuario que no mencionan PowerShell ni WinRM. En su lugar, las cadenas de texto de agente de usuario registrados hacen referencia a Internet Explorer 11. Las anotaciones que mencionan WinRM suelen estar generadas por módulos más antiguos de PowerShell que podrían utilizar "Basic Auth" o autenticación básica.
Riesgos que comportan las autenticaciones exitosas de Actores de Amenazas
Los actores de amenazas pueden aprovechar Exchange Online PowerShell para desplegar rápidamente reglas de bandeja de entrada maliciosas y configurar el reenvío de direcciones SMTP. Si bien el potencial impacto de un inicio de sesión en Exchange Online PowerShell por parte de una cuenta comprometida de usuario sin privilegios se limita al buzón de ese usuario, los usuarios comprometidos con ciertos roles adicionales pueden suponer un riesgo para todos los usuarios del entorno.
Un usuario con permisos por defecto podría ser capaz de efectuar las siguientes acciones, habituales en los actores de amenazas, tras haber iniciado sesión utilizando PowerShell:
- Crear/modificar/borrar las reglas de bandeja de entrada propias (Ilustraciones 1 y 2).
- Crear/modificar/borrar el reenvío de direcciones SMTP propias.
- Enviar emails haciéndose pasar por el usuario, a través de la API de OWA.
Ilustración 1: Ejemplo de regla de bandeja de entrada maliciosa que redirige los emails que contienen determinadas palabras clave a la carpeta de la papelera.
Ilustración 2: Regla maliciosa resultante en el buzón del usuario.
Un usuario con permisos de mayor nivel podría realizar algunas (o todas) las acciones siguientes, dependiendo del rol o roles que tuviera asignados:
- Crear/modificar/borrar reglas de bandeja de entrada para cualquier usuario del entorno.
- Crear/modificar/borrar reenvío de direcciones SMTP para cualquier usuario del entorno (Ilustración 3).
- Crear y borrar usuarios.
- Deshabilitar fuentes de registros y/o limitar el periodo de retención para determinados registros.
- Reiniciar contraseñas de usuario.
- Crear y exportar resultados de búsquedas de cumplimiento para cualquier contenido de la tenencia.
Ilustración 3: Ejemplo de regla maliciosa de reenvío que envía una copia de todos los mensajes recibidos a otro buzón de entrada, para todos los buzones de correo a los que tiene acceso el usuario comprometido.
Obsérvese que algunas de las capacidades ampliadas ya mencionadas pueden requerir de módulos PowerShell distintos de aquellos que proporcionan acceso a Exchange Online. A fecha del presente informe, Kroll ha determinado que no es posible para un usuario exportar el resultado de una búsqueda de cumplimiento excepto si disfruta del rol “Export”, el cual va incluido por defecto en el grupo de roles “eDiscovery Manager”. Por consiguiente, debido a este requisito, Kroll no ha identificado el riesgo de que un actor de amenazas pueda extraer el contenido de un buzón de usuario tras una conexión con Exchange Online PowerShell si el usuario no tiene privilegios.
Dos maneras de mitigar el riesgo proactivamente
Dado que la mayor parte de los usuarios no tienen necesidad comercial de utilizar Exchange Online PowerShell, los administradores de TI podrían plantearse simplemente deshabilitar la prestación para todos los usuarios, excepto para aquellos que la necesiten con fines de administración (cómo deshabilitar Exchange Online PowerShell).
Cuando esté habilitada la autenticación multifactor (MFA) para todos los métodos de autenticación, los actores de amenazas se verán obligados a recurrir a un token MFA para acceder a Exchange Online PowerShell.
- Obsérvese que si se ha deshabilitado la autenticación básica aplicando una política de autenticación, PowerShell es una categoría separada de SMTP, Outlook y otros servicios, por lo que será preciso deshabilitarla de manera independiente.
- Si la autenticación básica está deshabilitada para los protocolos de acceso al correo, pero se ha dejado habilitada para PowerShell, un actor de amenazas podría seguir actuando sobre la cuenta de un usuario comprometido, sin necesidad de recurrir a un token MFA.
Conclusión
A corto plazo, las organizaciones pueden protegerse de la explotación indebida de Exchange Online PowerShell haciendo que sus empleados habiliten MFA y restringiendo los permisos de usuario según una política de “menos privilegios”. No obstante, este es solo un ejemplo de cómo los actores de amenazas explotan herramientas y prestaciones legítimas de software con propósitos maliciosos. Combinado con el malware y con las tácticas de los actores de amenazas, cada día más sofisticadas, resulta crucial atajar los cíber-desafíos lo antes posible.