Ataque Masivo de “Password Spray” a Microsoft 365 / Azure

Una campaña automatizada de ataques de fuerza bruta (password spray) a gran escala está abusando activamente de la interfaz de línea de comandos (CLI) de Azure de Microsoft y de los flujos OAuth heredados para comprometer las cuentas de Entra ID, a pesar de que las organizaciones cuentan con autenticación multifactor (MFA).


Veredicto Analítico
  • Estado: Confirmado. Campaña sostenida con un pico de actividad registrado entre el 12 y el 26 de junio de 2026.
  • Confianza: Absoluta. Validado por la telemetría de Huntress que registró más de 81 millones de intentos de inicio de sesión y múltiples compromisos exitosos.
  • Riesgo para SOC, TDIR y Redes: Alto. El abuso de protocolos heredados permite a los atacantes eludir completamente los controles de Autenticación Multifactor (MFA), logrando acceso total a buzones y recursos de Microsoft 365 en inquilinos mal configurados.
  • Urgencia Operativa: Alta. Se requiere la revisión y endurecimiento inmediato de las Políticas de Acceso Condicional (CAP) y la desactivación de protocolos de autenticación obsoletos.
  • Base del Veredicto: Explotación de credenciales previamente filtradas que no han sido rotadas, combinada con deficiencias críticas en la configuración de las políticas CAP (como limitar MFA a aplicaciones específicas, grupos privilegiados o exclusiones de geolocalización erróneas).

Hallazgos Clave
  • Vulnerabilidades Identificadas (Severidad: Alta): El riesgo principal no radica en un fallo de software (CVE), sino en un vector de abuso de diseño: la explotación del flujo de credenciales de contraseña del propietario del recurso (ROPC) de OAuth a través de Azure CLI. Al ser un protocolo obsoleto, ROPC intercambia directamente las credenciales en el punto final del token, evitando el punto de autorización interactivo donde habitualmente se aplica el MFA.
  • Servicios Afectados: El riesgo se extiende a cualquier entorno corporativo de Microsoft 365 y Entra ID que permita el uso de Azure CLI y flujos de autenticación heredados. Afectó al menos a 78 identidades de usuario distribuidas en 64 organizaciones diferentes.

Análisis Técnico: Mecanismo de Explotación

Aunque la campaña es de fuerza bruta, el mecanismo para eludir las defensas sigue un patrón estructurado:

  • Reconocimiento y Envío: El atacante (operando predominantemente desde direcciones IPv6 de origen chino bajo la infraestructura AS32167 de LSHIY LLC) envía peticiones masivas de inicio de sesión utilizando pares antiguos de usuario/contraseña expuestos en filtraciones anteriores.
  • Evasión de MFA (Fallo en la Validación): El atacante dirige la validación mediante el flujo ROPC utilizado por Azure CLI. Si el inquilino tiene políticas CAP deficientes (ej. en modo “solo informe”, excluyendo Azure CLI de las aplicaciones con MFA obligatorio, o fallos de geolocalización IP), la petición sortea los controles de seguridad.
  • Impacto Operativo (Compromiso de Cuenta): El sistema emite exitosamente tokens de acceso delegados por el usuario sin requerir el desafío interactivo de MFA, otorgando al atacante control sobre la cuenta comprometida de Microsoft 365.

Tácticas, Técnicas y Procedimientos (MITRE ATT&CK)
  • Acceso Inicial: Cuentas Válidas (Valid Accounts – T1078) mediante el uso de contraseñas comprometidas obtenidas previamente, y Fuerza Bruta de Contraseñas (Password Spraying – T1110.003).
  • Evasión de Defensas: Modificación de Mecanismos de Autenticación / Evasión de MFA (Modify Authentication Process / MFA Bypass – T1556) al abusar de flujos OAuth heredados (ROPC) y configuraciones CAP permisivas.

Recomendaciones Operativas

Para Administración de Redes y TI (Acción Prioritaria)

  • Refuerzo de Políticas CAP: Configurar inmediatamente las Políticas de Acceso Condicional para exigir MFA o bloquear el acceso a todos los usuarios, todas las aplicaciones en la nube y todos los tipos de aplicaciones cliente, sin excepciones.
  • Deshabilitación de Protocolos Heredados: Restringir el uso de Azure CLI únicamente a administradores verificados y bloquear explícitamente el uso de flujos ROPC. Implementar autenticación sólida a nivel de cliente (mediante la directiva userStrongAuthClientAuthNRequired).

Para el Centro de Operaciones de Seguridad (SOC)

  • Auditoría de Configuraciones (Simulador): Probar continuamente el comportamiento de las CAP utilizando herramientas como el simulador “What If” de Microsoft para detectar políticas que solo reportan, ubicaciones de confianza mal aplicadas o grupos excluidos del MFA.
  • Monitoreo de Anomalías: Configurar alertas en el SIEM para detectar picos inusuales de inicios de sesión fallidos, especialmente aquellos que provengan del ASN AS32167 o que apunten a los endpoints de Azure CLI utilizando autenticación heredada.

Related Post