{"id":865551,"date":"2023-07-21T18:07:49","date_gmt":"2023-07-21T18:07:49","guid":{"rendered":"https:\/\/teknomers.com\/es\/la-tecnica-de-falsificacion-de-tokens-de-azure-ad-en-microsoft-attack-se-extiende-mas-alla-de-outlook-informa-wiz\/"},"modified":"2023-07-21T18:07:52","modified_gmt":"2023-07-21T18:07:52","slug":"la-tecnica-de-falsificacion-de-tokens-de-azure-ad-en-microsoft-attack-se-extiende-mas-alla-de-outlook-informa-wiz","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/la-tecnica-de-falsificacion-de-tokens-de-azure-ad-en-microsoft-attack-se-extiende-mas-alla-de-outlook-informa-wiz\/","title":{"rendered":"La t\u00e9cnica de falsificaci\u00f3n de tokens de Azure AD en Microsoft Attack se extiende m\u00e1s all\u00e1 de Outlook, informa Wiz"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">21 de julio de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">THN<\/span><\/span><span class=\"p-tags\">Seguridad de correo electr\u00f3nico \/ Ataque cibern\u00e9tico<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Se dice que el reciente ataque contra la infraestructura de correo electr\u00f3nico de Microsoft por parte de un actor del estado-naci\u00f3n chino conocido como Storm-0558 tiene un alcance m\u00e1s amplio de lo que se pensaba anteriormente.<\/p>\n<p>Seg\u00fan la empresa de seguridad en la nube Wiz, la clave de firma del consumidor de la cuenta de Microsoft (MSA) inactiva utilizada para falsificar tokens de Azure Active Directory (Azure AD o AAD) para obtener acceso il\u00edcito a Outlook Web Access (OWA) y Outlook.com tambi\u00e9n podr\u00eda haber permitido al adversario falsificar tokens de acceso para varios tipos de aplicaciones de Azure AD.<\/p>\n<p>Este <a rel=\"nofollow noopener\" href=\"https:\/\/www.wiz.io\/blog\/storm-0558-compromised-microsoft-key-enables-authentication-of-countless-micr\" target=\"_blank\">incluye<\/a> todas las aplicaciones que admitan la autenticaci\u00f3n de cuentas personales, como OneDrive, SharePoint y Teams;  aplicaciones de clientes que admitan la funci\u00f3n &#8220;Iniciar sesi\u00f3n con Microsoft&#8221; y aplicaciones multiusuario en determinadas condiciones.<\/p>\n<p>&#8220;Todo en el mundo de Microsoft aprovecha los tokens de autenticaci\u00f3n de Azure Active Directory para el acceso&#8221;, dijo Ami Luttwak, directora de tecnolog\u00eda y cofundadora de Wiz, en un comunicado.  &#8220;Un atacante con una clave de firma AAD es el atacante m\u00e1s poderoso que pueda imaginar, porque puede acceder a casi cualquier aplicaci\u00f3n, como cualquier usuario. Esta es una superpotencia de &#8216;cambio de forma'&#8221;.<\/p>\n<section class=\"check_two clear badbox\"><center class=\"cf\"> <\/center><\/section>\n<p>Microsoft, la semana pasada, revel\u00f3 que la t\u00e9cnica de falsificaci\u00f3n de tokens fue explotada por Storm-0558 para extraer datos no clasificados de los buzones de las v\u00edctimas, pero se desconocen los contornos exactos de la campa\u00f1a de espionaje cibern\u00e9tico.<\/p>\n<p>El fabricante de Windows dijo que todav\u00eda est\u00e1 investigando c\u00f3mo el adversario logr\u00f3 adquirir la clave de firma del consumidor de MSA.  Pero no est\u00e1 claro si la clave funcion\u00f3 como una especie de clave maestra para desbloquear el acceso a los datos pertenecientes a casi dos docenas de organizaciones.<\/p>\n<p>El an\u00e1lisis de Wiz llena algunos de los espacios en blanco y la empresa descubre que &#8220;todas las aplicaciones de cuentas personales de Azure v2.0 dependen de una lista de <a rel=\"nofollow noopener\" href=\"https:\/\/login.microsoftonline.com\/consumers\/discovery\/v2.0\/keys\" target=\"_blank\">8 claves p\u00fablicas<\/a>y todas las aplicaciones multiusuario v2.0 de Azure con la cuenta de Microsoft habilitada dependen de una lista de <a rel=\"nofollow noopener\" href=\"https:\/\/login.microsoftonline.com\/common\/discovery\/v2.0\/keys\" target=\"_blank\">7 claves p\u00fablicas<\/a>.&#8221;<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEghUDgoU-VKCs9ViiHpRNmx3Upb_pPJtFJCdNWm0TwxGOyEsxJ4ZGEXJWoahYOjL2_5PjzsadjnIZ1L3Jw87COYyBVCMMLrJRFbklaaZFK4pdP3L6bDS-4VasUlVvCClB0DwJiO2li7_HgT5sUVWiJXXKCTGHz3wliFOvdqdzquUfvZMuYDw8dI-TnGFxVn\/s728-e3650\/wiz.jpg\" alt=\"Directorio activo de Azure\" border=\"0\" data-original-height=\"422\" data-original-width=\"728\" title=\"Directorio activo de Azure\"\/><\/div>\n<p>Adem\u00e1s, descubri\u00f3 que Microsoft reemplaz\u00f3 una de las claves p\u00fablicas enumeradas (huella digital: &#8220;d4b4cccda9228624656bff33d8110955779632aa&#8221;) que hab\u00eda estado presente <a rel=\"nofollow noopener\" href=\"https:\/\/web.archive.org\/web\/20160801114452\/https:\/login.microsoftonline.com\/common\/discovery\/v2.0\/keys\" target=\"_blank\">desde al menos 2016<\/a> en alg\u00fan momento entre el 27 de junio de 2023 y el 5 de julio de 2023, aproximadamente el mismo per\u00edodo en que la compa\u00f1\u00eda dijo que hab\u00eda revocado la clave de MSA.<\/p>\n<p>&#8220;Esto nos llev\u00f3 a creer que aunque la clave comprometida adquirida por Storm-0558 era una clave privada dise\u00f1ada para el arrendatario MSA de Microsoft en Azure, tambi\u00e9n pod\u00eda firmar tokens OpenID v2.0 para m\u00faltiples tipos de aplicaciones de Azure Active Directory&#8221;, dijo Wiz.<\/p>\n<section class=\"check_two_webinar clear badbox\"><span class=\"wn-label\">PR\u00d3XIMO SEMINARIO WEB<\/span><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/I26t1VFD\" target=\"_blank\" class=\"wn-head\"><\/p>\n<p>Prot\u00e9jase contra las amenazas internas: Domine la gesti\u00f3n de la postura de seguridad de SaaS<\/p>\n<p><\/a><\/p>\n<p class=\"wn-description\">\u00bfPreocupado por las amenazas internas?  \u00a1Te tenemos cubierto!  \u00danase a este seminario web para explorar estrategias pr\u00e1cticas y los secretos de la seguridad proactiva con SaaS Security Posture Management.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/I26t1VFD\" target=\"_blank\" class=\"wn-button\">\u00danete hoy<\/a><\/section>\n<p>&#8220;Storm-0558 aparentemente logr\u00f3 obtener acceso a una de varias claves que estaban destinadas a firmar y verificar tokens de acceso AAD. Se confiaba en la clave comprometida para firmar cualquier token de acceso OpenID v2.0 para cuentas personales y aplicaciones AAD de audiencia mixta (cuenta personal o multiinquilino)&#8221;.<\/p>\n<p>Esto significa que, en teor\u00eda, podr\u00eda permitir que actores maliciosos falsificaran tokens de acceso para el consumo de cualquier aplicaci\u00f3n que dependa de la plataforma de identidad de Azure.<\/p>\n<p>Peor a\u00fan, la clave privada adquirida podr\u00eda haberse utilizado como arma para falsificar tokens para autenticarse como cualquier usuario en una aplicaci\u00f3n afectada que conf\u00ede en los certificados mixtos de audiencia y cuentas personales de Microsoft OpenID v2.0.<\/p>\n<p>&#8220;Las claves de firma del proveedor de identidad son probablemente los secretos m\u00e1s poderosos del mundo moderno&#8221;, dijo Shir Tamari, investigadora de seguridad de Wiz.  &#8220;Con las claves del proveedor de identidad, uno puede obtener acceso inmediato de un solo salto a todo, cualquier buz\u00f3n de correo electr\u00f3nico, servicio de archivos o cuenta en la nube&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/07\/azure-ad-token-forging-technique-in.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80221 de julio de 2023\ue804THNSeguridad de correo electr\u00f3nico \/ Ataque cibern\u00e9tico Se dice que el reciente ataque contra<\/p>\n","protected":false},"author":1,"featured_media":865552,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,11292,4661,4763,21592,4664,1708,27054,4662,5946,4668,4667,16,7983,4654,4658,4659,4653,4655,11751,4663,4666,4665,26098,50202,4660,175391],"class_list":["post-865551","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-alla","tag-ataques-ciberneticos","tag-attack","tag-azure","tag-como-hackear","tag-extiende","tag-falsificacion","tag-filtracion-de-datos","tag-informa","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-mas","tag-microsoft","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-outlook","tag-programa-malicioso-ransomware","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-tecnica","tag-tokens","tag-vulnerabilidad-de-software","tag-wiz"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/865551","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=865551"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/865551\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/865552"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=865551"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=865551"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=865551"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}