Demonstração de ataque Man-in-the-Middle ao Office 365

Nossa equipe de resposta a incidentes está vendo um aumento no número de adversários usando um engenhoso ataque Man-in-the-Middle para burlar o MFA e invadir os tenants do Office 365.

Aqui temos um resumo de como o ataque funciona:

• Nós levamos um usuário a inserir suas credenciais em nossa página falsa de logon do O365 (criada com evilginx)
• Fazemos com que a Microsoft envie um código de acesso para o telefone do usuário
• O usuário insere o código de acesso em NOSSA página falsa
• Nós sequestramos o token da sessão do usuário
• Obtemos acesso ao ambiente SharePoint Online
• Fazemos a exfiltração de dados do O365
• Acessamos o ambiente On-Prem e roubamos os e-mails do CEO (por que não?)