Entre el 12 y el 26 de junio, un atacante automatizado realizó más de 81 millones de intentos de inicio de sesión contra cuentas de Microsoft 365 monitoreadas por la firma de seguridad Huntress. El tráfico provenía de un rango de direcciones IPv6 registrado a nombre de un proveedor de infraestructura llamado LSHIY LLC, y el objetivo no era la página de inicio de sesión web de Microsoft 365, sino la interfaz de línea de comandos de Azure. Para cuando se documentó la campaña, ya había comprometido al menos 78 cuentas en 64 organizaciones, con compromisos diarios que pasaron de dos o tres por día a 30 cuentas en un solo día el 22 de junio.
Lo que hace que esta campaña merezca atención no es el volumen. El credential stuffing a gran escala no es nada nuevo. Es el mecanismo que permitió que tantas de esas 78 cuentas cayeran a pesar de tener activada la autenticación multifactor.
El Flujo que el Acceso Condicional Olvidó
Los atacantes se autenticaron usando un mecanismo OAuth heredado llamado Resource Owner Password Credentials, o ROPC. ROPC permite que una aplicación intercambie un nombre de usuario y una contraseña directamente por un token de acceso en el endpoint /token de Microsoft, sin que el usuario pase nunca por una página de inicio de sesión interactiva. Ese diseño es anterior a la autenticación moderna y nunca fue construido para admitir solicitudes de MFA, llaves de seguridad ni redirecciones de inicio de sesión único. Si un par válido de nombre de usuario y contraseña llega a ese endpoint, ROPC devuelve un token. No hay ninguna solicitud que interceptar, porque no hay ninguna sesión interactiva que solicitar.
Huntress descubrió que muchas de las organizaciones comprometidas ya tenían políticas de Acceso Condicional que exigían MFA. Esas políticas simplemente no estaban escritas para cubrir este flujo de autenticación. Una política de Acceso Condicional que exige MFA para los inicios de sesión desde navegador pero que no bloquea ni restringe explícitamente los protocolos heredados deja a ROPC como una puerta lateral abierta, y los atacantes que ya conocen esto entran directamente. La propia guía de Microsoft recomienda deshabilitar la autenticación heredada y, para cualquier política que pretenda ser integral, aplicarla a todos los usuarios, todas las aplicaciones en la nube y todos los tipos de aplicación cliente, en lugar de limitar su alcance.
Las contraseñas provenían de listas combinadas filtradas en brechas anteriores. Huntress señaló que la selección de objetivos no fue selectiva por industria ni tamaño de empresa, sino por la prevalencia de la contraseña. Si un par de credenciales de una brecha antigua todavía funcionaba, la infraestructura de LSHIY eventualmente lo probaba.
Por Qué Esto Importa Más que una Historia Típica de Credential Stuffing
Una cuenta de Microsoft 365 comprometida no es solo un buzón que un atacante puede leer. Es una identidad de envío completamente autenticada. El correo enviado desde esa cuenta pasa SPF porque se origina en la infraestructura misma de Microsoft. Pasa DKIM porque Microsoft lo firma con la clave real del tenant. Pasa DMARC porque ambas verificaciones pasan y se alinean con la dirección De visible. Ninguno de los tres protocolos en los que la mayoría de los dueños de dominios confían para detener la suplantación fue diseñado para preguntar si la persona que está tecleando realmente está autorizada a estar ahí. Fueron diseñados para confirmar que el mensaje vino de donde dice venir, y después de un canje de token ROPC exitoso, efectivamente así fue.
Esa es la brecha que esta campaña explota a gran escala. Una vez que una cuenta se compromete mediante password spray, todo lo que viene después, mensajes de BEC a equipos financieros, fraude de facturas enviado a proveedores reales, phishing interno que usa la firma real de un colega, llega con un resultado de autenticación limpio. Cada cifra en dólares de cada informe de fraude que se remonta a un buzón secuestrado, incluidos los miles de millones que el informe IC3 del FBI atribuyó al BEC el año pasado, comienza con un evento de autenticación exactamente como este teniendo éxito.
Cerrando la Puerta Real
La solución para esta campaña específica no es un cambio en DMARC. Es auditar las configuraciones de Acceso Condicional para confirmar que ROPC y otros flujos de autenticación heredados estén bloqueados por completo, no simplemente relegados detrás de una solicitud de MFA que ROPC nunca tiene que responder. La configuración userStrongAuthClientAuthNRequired de Microsoft aplica autenticación fuerte a nivel de cliente de una forma que detiene ROPC antes de que se emita un token. Rotar las contraseñas que aparecen en datos de brechas, antes de que un atacante llegue primero, cierra la otra mitad de la brecha.
Nada de esto reemplaza a DMARC. Lo complementa. La aplicación de DMARC impide que alguien envíe correo que simplemente dice provenir de tu dominio sin haber tocado nunca tu infraestructura. No puede ver, y nunca fue pensado para ver, un mensaje enviado por alguien que técnicamente está dentro de tu tenant porque una contraseña de una brecha de 2019 todavía funcionaba y una política de Acceso Condicional tenía un vacío que nadie había probado. El monitoreo continuo de tus informes agregados y forenses de DMARC es uno de los pocos lugares donde el comportamiento de envío inusual desde una cuenta que es legítimamente tuya empieza a hacerse visible, incluso si el protocolo en sí no puede bloquearlo.
La Conclusión
81 millones de intentos de inicio de sesión es una cifra lo bastante grande como para sonar abstracta. 78 compromisos exitosos, cada uno una identidad de Microsoft 365 completamente autenticada y ahora disponible para enviar correo que pasará todas las verificaciones que ejecuten los filtros de tus destinatarios, no es abstracto en absoluto. Si tu organización no ha probado si sus políticas de Acceso Condicional realmente bloquean ROPC y otros flujos heredados, esta campaña es la razón para revisarlo esta semana, no la próxima vez que tengas tiempo.
Los protocolos de autenticación solo pueden verificar aquello para lo que fueron diseñados. Cuando una cuenta se compromete, no se suplanta, la visibilidad sobre tu correo saliente es lo que lo detecta. Regístrate gratis en Excello Mail y monitorea los informes DMARC de tu dominio de forma continua, para que una cuenta comprometida no obtenga vía libre solo porque la contraseña era real.