Demostración de ataque con intermediario contra Office 365

Nuestro equipo de respuesta a incidentes observa un aumento notable en la cantidad de adversarios que utilizan un ataque Man-in-the-Middle muy complejo para eludir la autenticación de múltiple factor (MFA), generando brechas de seguridad en Office 365.

Aquí un resumen de cómo funciona el ataque:

• Engañamos a un usuario para que introduzca credenciales en nuestra página de inicio fraudulenta de O365 (hecha con evilginx)
• Hacemos que Microsoft envíe una clave de acceso al teléfono del usuario
• El usuario introduce su clave de acceso en NUESTRA página fraudulenta
• Nos apoderamos del token de sesión del usuario
• Obtenemos acceso al entorno de SharePoint Online
• Exfiltramos datos de O365
• Nos dirigimos a instalaciones locales y sustraemos correos electrónicos del director ejecutivo —¿por qué no?