Inicia sesión



Inseguridad en Microsoft Office 365

Inseguridad en Microsoft Office 365En este tutorial les mostraremos algunas observaciones de seguridad de Microsoft Office 365 desde la Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA).

Resumen


A medida que aumenta el número de organizaciones que migran servicios de correo electrónico a Microsoft Office 365 (O365) y otros servicios en la nube, también aumenta el uso de compañías de terceros que mueven las organizaciones a la nube. Las organizaciones y sus socios externos deben ser conscientes de los riesgos involucrados en la transición a O365 y otros servicios en la nube.

Este informe de análisis proporciona información sobre estos riesgos, así como sobre las vulnerabilidades de configuración de los servicios en la nube; Este informe también incluye recomendaciones para mitigar estos riesgos y vulnerabilidades.

Descripción


Desde octubre de 2018, la Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA) ha llevado a cabo varios compromisos con clientes que han utilizado socios externos para migrar sus servicios de correo electrónico a O365.

Las organizaciones que usaron un tercero han tenido una combinación de configuraciones que redujeron su postura de seguridad general (por ejemplo, auditoría de buzón deshabilitada, registro de auditoría unificado deshabilitado, autenticación multifactor deshabilitada en cuentas de administrador). Además, la mayoría de estas organizaciones no tenían un equipo de seguridad de TI dedicado para centrarse en su seguridad en la nube. Estos descuidos de seguridad han llevado a compromisos y vulnerabilidades de usuarios y buzones.

Detalles técnicos


La siguiente lista contiene ejemplos de vulnerabilidades de configuración:

  • La autenticación multifactor para cuentas de administrador no está habilitada de manera predeterminada: los administradores globales de Azure Active Directory (AD) en un entorno O365 tienen el nivel más alto de privilegios de administrador en el nivel de inquilino. Esto es equivalente al Administrador de dominio en un entorno AD local. Las cuentas de administrador global de Azure AD son las primeras cuentas creadas para que los administradores puedan comenzar a configurar su inquilino y eventualmente migrar a sus usuarios. La autenticación multifactor (MFA) no está habilitada de manera predeterminada para estas cuentas. [1] Hay una política predeterminada de acceso condicional disponible para los clientes, pero el administrador global debe habilitar explícitamente esta política para habilitar MFA para estas cuentas. Estas cuentas están expuestas al acceso a Internet porque están basadas en la nube. Si no se asegura de inmediato, estas cuentas basadas en la nube podrían permitir que un atacante mantenga la persistencia a medida que un cliente migra usuarios a O365.
  • Auditoría del buzón deshabilitada: la auditoría del buzón O365 registra las acciones que realizan los propietarios, delegados y administradores del buzón. Microsoft no habilitó la auditoría de forma predeterminada en O365 antes de enero de 2019. Los clientes que adquirieron su entorno O365 antes de 2019 tuvieron que habilitar explícitamente la auditoría de buzones. [2] Además, el entorno O365 actualmente no habilita el registro de auditoría unificado de forma predeterminada. El registro de auditoría unificado contiene eventos de Exchange Online, SharePoint Online, OneDrive, Azure AD, Microsoft Teams, PowerBI y otros servicios de O365. [3] Un administrador debe habilitar el registro de auditoría unificado en el Centro de seguridad y cumplimiento antes de que se puedan ejecutar consultas.
  • Sincronización de contraseña habilitada: Azure AD Connect integra entornos locales con Azure AD cuando los clientes migran a O365. [4] Esta tecnología proporciona la capacidad de crear identidades de Azure AD a partir de identidades de AD locales o para hacer coincidir las identidades de Azure AD creadas previamente con las identidades de AD locales. Las identidades locales se convierten en identidades autorizadas en la nube. Para hacer coincidir las identidades, la identidad de AD debe coincidir con ciertos atributos. Si coincide, la identidad de Azure AD se marca como administrada localmente. Por lo tanto, es posible crear una identidad de AD que coincida con un administrador en Azure AD y crear una cuenta local con el mismo nombre de usuario. Una de las opciones de autenticación para Azure AD es "Sincronización de contraseña". Si esta opción está habilitada, la contraseña de las instalaciones locales sobrescribe la contraseña en Azure AD. En esta situación particular, si la identidad AD local se ve comprometida, Nota: Microsoft ha deshabilitado la capacidad de hacer coincidir ciertas cuentas de administrador a partir de octubre de 2018. Sin embargo, las organizaciones pueden haber realizado una coincidencia de cuenta de administrador antes de que Microsoft desactive esta función, sincronizando así las identidades que pueden haber sido comprometidas antes de la migración. Además, las cuentas de usuario normales no están protegidas por esta capacidad que se deshabilita.
  • Autenticación no compatible con protocolos heredados: Azure AD es el método de autenticación que utiliza O365 para autenticarse con Exchange Online, que proporciona servicios de correo electrónico. Existen varios protocolos asociados con la autenticación de Exchange Online que no son compatibles con los métodos de autenticación modernos con funciones MFA. Estos protocolos incluyen el protocolo de oficina postal (POP3), el protocolo de acceso a mensajes de Internet (IMAP) y el protocolo simple de transporte de correo (SMTP). Los protocolos heredados se usan con clientes de correo electrónico más antiguos, que no admiten la autenticación moderna. Los protocolos heredados se pueden deshabilitar a nivel de inquilino o a nivel de usuario. Sin embargo, si una organización requiere clientes de correo electrónico más antiguos como una necesidad comercial, estos protocolos no se desactivarán. Esto deja a las cuentas de correo electrónico expuestas a Internet con solo el nombre de usuario y la contraseña como método de autenticación principal. Un enfoque para mitigar este problema es hacer un inventario de los usuarios que aún requieren el uso de un cliente de correo electrónico heredado y protocolos de correo electrónico heredados. El uso de las políticas de acceso condicional de Azure AD puede ayudar a reducir la cantidad de usuarios que tienen la capacidad de usar métodos de autenticación de protocolos heredados. Dar este paso reducirá en gran medida la superficie de ataque para las organizaciones. [5]

Solución


CISA alienta a las organizaciones a implementar una estrategia de nube de organización para proteger sus activos de infraestructura a través de la defensa contra ataques relacionados con su transición O365 y O365 asegurar su servicio. [6] Específicamente, CISA recomienda que los administradores implementen las siguientes mitigaciones y mejores prácticas:

  • Use autenticación multifactor. Esta es la mejor técnica de mitigación para proteger contra el robo de credenciales para usuarios de O365.
  • Habilite el registro de auditoría unificado en el Centro de seguridad y cumplimiento.
  • Habilite la auditoría de buzones para cada usuario.
  • Asegúrese de que la sincronización de contraseña de Azure AD esté planificada y configurada correctamente, antes de migrar usuarios.
  • Desactive los protocolos de correo electrónico heredados, si no es necesario, o limite su uso a usuarios específicos.

Referencias


Revisiones


03 de Diciembre de 2019: versión inicial


  • Autor:
  • Editor: Tutoriales En Linea
  • Fecha:2019-12-03
  • Categorias: Herramientas Ofimaticas Microsoft Noticias Tutorial




Información
Usuarios que no esten registrados no pueden dejar comentarios, te invitamos a que te registre!






Trading en Tacones – Mujeres empoderadas con las inversiones

  • Autor:
  • Editor: Tutoriales En Linea
  • Fecha:2019-12-05
  • Categorias: Forex Noticias Tutorial

Como agregar un icono de Font Awesome en CSS

  • Autor:
  • Editor: Tutoriales En Linea
  • Fecha:2019-12-04
  • Categorias: Diseño Web @font-face WebSite webmasters Noticias Tutorial

Iconos sociales para Datalife engine y para cualquier sitio Web

  • Autor:
  • Editor: Tutoriales En Linea
  • Fecha:2019-12-04
  • Categorias: Diseño Web Redes Sociales WebSite webmasters Noticias Tutorial

Cursos que aún ofrecen certificados gratuitos

  • Autor:
  • Editor: Tutoriales En Linea
  • Fecha:2019-11-26
  • Categorias: Cursos Noticias Tutorial Aprendizaje

Curso de iniciación de JavaScript

  • Autor:
  • Editor: Tutoriales En Linea
  • Fecha:2019-10-21
  • Categorias: Lenguajes De Programacion javascript Cursos Noticias Tutorial

Cómo insertar código JavaScript

  • Autor:
  • Editor: Tutoriales En Linea
  • Fecha:2019-10-21
  • Categorias: Lenguajes De Programacion javascript Cursos Noticias Tutorial