Técnicas de Recolección de Correos en Microsoft 365: Nueva Amenaza para Organizaciones

por

Leonel Marín R.
en

El equipo de investigación de amenazas de Splunk ha publicado un detallado análisis sobre las técnicas que los atacantes están utilizando para acceder y recolectar correos electrónicos en entornos Microsoft 365 (M365). Este informe destaca la importancia de proteger el acceso a los buzones de correo y monitorear actividades sospechosas.

Principales Técnicas Identificadas

Los investigadores han identificado varios métodos que los atacantes utilizan para comprometer buzones de correo:

  • Reglas de Bandeja de Entrada: Los atacantes crean reglas para reenviar automáticamente correos a cuentas externas.
  • Reenvío de Buzón: Configuración de reenvío total del buzón a direcciones maliciosas.
  • Delegación de Buzón: Otorgamiento de permisos de acceso no autorizados a otros usuarios.
  • Permisos de Carpetas: Modificación de permisos para acceder a carpetas específicas.
  • Acceso vía API: Uso indebido de APIs como Exchange Web Services y Microsoft Graph.
  • Búsquedas de Cumplimiento: Abuso de funciones de búsqueda y exportación de contenido.
  • Reglas de Flujo de Correo: Configuración de reglas de transporte para interceptar comunicaciones.

Recomendaciones de Seguridad

Para proteger los entornos M365, los equipos de seguridad deberían implementar las siguientes medidas:

  1. Monitorización Activa:
    • Implementar detección de creación de reglas de reenvío sospechosas
    • Vigilar cambios en permisos de buzones y carpetas
    • Monitorear accesos mediante APIs y servicios web
  2. Control de Acceso:
    • Revisar y limitar permisos administrativos
    • Implementar autenticación multifactor
    • Restringir acceso a funciones sensibles de cumplimiento
  3. Auditoría Regular:
    • Realizar revisiones periódicas de reglas de buzón
    • Auditar permisos delegados
    • Verificar configuraciones de reenvío de correo
  4. Respuesta a Incidentes:
    • Desarrollar procedimientos específicos para incidentes de compromiso de correo
    • Mantener capacidad de investigación forense
    • Establecer procesos de remediación rápida

Conclusión

La sofisticación creciente de los ataques contra M365 requiere una estrategia de seguridad proactiva. Las organizaciones deben mantenerse al día con las últimas técnicas de ataque y asegurar que sus controles de seguridad evolucionen acordemente.

Fuente: Hunting M365 Invaders: Dissecting Email Collection Techniques – Splunk Blog

Comentarios

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *