Bypass a la Autenticación Multifactor (MFA) Resistentes a Phishing en Microsoft Entra ID
Investigadores en ciberseguridad han descubierto una técnica avanzada para evadir los mecanismos de autenticación multifactor (MFA) resistentes a phishing en Microsoft Entra ID (anteriormente Azure AD). Este método explota el flujo de autenticación mediante códigos de dispositivo (device code flow) y los Primary Refresh Tokens (PRTs), permitiendo a atacantes registrar claves de Windows Hello for Business y crear puertas traseras persistentes incluso en entornos con políticas estrictas de MFA.
Detalles Técnicos del Ataque
El ataque se basa en dos componentes clave:
- Device Code Flow: Un protocolo OAuth 2.0 diseñado para dispositivos con limitaciones de entrada (como Smart TVs). Los atacantes pueden abusar de este flujo para iniciar sesión sin interactuar directamente con la víctima.
- Primary Refresh Tokens (PRTs): Tokens de larga duración que permiten el acceso continuo a recursos sin requerir autenticación frecuente. Los atacantes pueden robar estos tokens para mantener acceso persistente.
Al combinar estas técnicas, los atacantes pueden registrar claves de Windows Hello for Business en un dispositivo controlado por ellos, lo que les permite autenticarse posteriormente sin necesidad de superar las barreras de MFA.
Implicaciones para la Seguridad
Este descubrimiento tiene importantes implicaciones:
- Demuestra que incluso los sistemas MFA considerados “resistentes a phishing” pueden ser vulnerables a ataques sofisticados.
- Resalta la importancia de monitorear y gestionar adecuadamente los PRTs y otros tokens de larga duración.
- Muestra cómo los atacantes pueden aprovechar funcionalidades legítimas (como Windows Hello for Business) para fines maliciosos.
Recomendaciones de Mitigación
Para protegerse contra este tipo de ataques, las organizaciones deberían considerar:
- Restringir el uso del device code flow solo cuando sea absolutamente necesario.
- Implementar políticas de duración más cortas para los PRTs.
- Monitorear activamente los registros de autenticación para detectar patrones sospechosos.
- Considerar el uso de soluciones de Identity Threat Detection and Response (ITDR) para identificar comportamientos anómalos.
- Limitar los privilegios para registrar claves de Windows Hello for Business.
Conclusión
Este descubrimiento subraya que ningún sistema de seguridad es completamente invulnerable. Las organizaciones deben adoptar un enfoque de defensa en profundidad, combinando múltiples capas de seguridad y manteniéndose actualizadas sobre las últimas técnicas de ataque. La autenticación multifactor sigue siendo esencial, pero debe implementarse como parte de una estrategia de seguridad integral que incluya monitoreo continuo y gestión adecuada de identidades y accesos.
