O Microsoft Office 365 é um pacote baseado em nuvem que inclui vários produtos da Microsoft e é voltado para consumidores, pequenas e médias empresas e também para grandes organizações. Esse serviço popular tornou-se um alvo bastante atrativo para os cibercriminosos, que buscam obter credenciais de acesso e, em seguida, realizar ações maliciosas. Recentemente, o Office 365 se tornou uma das marcas mais usadas em campanhas de roubo de identidade. De fato, em abril deste ano, a Cybersecurity and Infrastructure Security Agency (CISA), nos Estados Unidos, alertou que, devido a necessidade de implantar o teletrabalho por conta da pandemia, as empresas devem tomar as medidas necessárias para evitar serem vítimas de ataques direcionados ao Office 365.

Para acessar uma rede do Office 365, um dos meios mais comuns usados ​​por cibercriminosos são os ataques de phishing e spearphishing para roubar credenciais de acesso. De acordo com o framework MITER ATT&CK, os atacantes também tendem a procurar credenciais de acesso por meio do uso de técnicas de força bruta, roubo do token de acesso da vítima (geralmente usam engenharia social, pois exigem a ação da vítima) e roubo de cookies de login válidas em aplicativos ou serviços web. Outra maneira de obter credenciais de acesso válidas é através da obtenção das credenciais que são armazenadas de forma insegura em um local específico ou em alguma parte do sistema.

No caso de cookies de login, elas podem ser usadas ​​por um atacante para acessar aplicativos ou serviços de Internet como um usuário autenticado, sem a necessidade de credenciais. Os aplicativos e serviços web geralmente usam cookies de login como token de autenticação depois que um usuário se autentica em um site.

Dentro do que é conhecido como ataques de força bruta, existe uma técnica chamada password spraying que tem sido usada recentemente por grupos APT em campanhas que buscam coletar contas do Office 365 e que têm sido direcionadas, entre outros alvos, a organizações relacionadas à política nos Estados Unidos e Reino Unido. O objetivo, nesse caso, é obter credenciais válidas para realizar atividades de espionagem e se mover lateralmente pela rede, destacou a Microsoft.

Outra campanha recente direcionada ao Office 365, que buscava roubar nomes de usuário e senhas de contas corporativas do Microsoft Office 365, tinha como alvo empresas em setores como hospitalar, financeiro, tecnológico, manufatureiro, farmacêutico, petroleiro e governamental. Conforme publicado pelo portal ZDNet, os pesquisadores da Menlo detectaram que essa campanha tinha a particularidade de usar captchas como parte de sua estratégia de engenharia social para gerar uma falsa sensação de segurança nas possíveis vítimas.

Ataques de engenharia social direcionados a contas do Office 365

Embora as campanhas de engenharia social usadas por cibercriminosos para realizar ataques de phishing e spearphishing sejam dinâmicas e mudem constantemente, descrevemos alguns exemplos que observamos recentemente:

  • E-mails falsos notificando que há uma nova mensagem de voz que ainda não foi aberta

Ao acessar o link no e-mail para abrir a suposta mensagem de voz, a vitíma acaba abrindo uma página falsa para inserir as credenciais de acesso ao Office 365.

  • E-mails que se fazem passar pelo Zoom

Por meio de um e-mail, por exemplo, a vítima é notificada sobre uma suposta suspensão da conta por falha de sincronização com o servidor. A mensagem solicita que o usuário verifique seu endereço de e-mail clicando em um link para poder usar o aplicativo.

  • Envio de documento compartilhado

Consiste em um ataque de phishing no qual a vítima recebe uma notificação do envio de um documento compartilhado, por exemplo, um arquivo Excel, e ao tentar abri-lo, o usuário é direcionado a uma página falsa do OneDrive para inserir suas credenciais de acesso.

  • Envio de mensagens falsas que se fazem passar pelo Microsoft Teams

Usando diversos contextos, as mensagens que se fazem passar por notificações do Microsoft Teams geralmente incluem links que, ao serem clicados pelo usuário, direcionam a vítima para uma página de login falsa da Microsoft com o objetivo de fazer com que o usuário insira suas credenciais.

Em maio, a imprensa internacional alertou sobre ataques de phishing que se faziam passar por notificações do Teams com um link para acessar um documento, mas que exigia que o usuário inserisse suas credenciais de login. Enquanto isso, na semana passada, a imprensa noticiou uma nova campanha de phishing bem semelhante e que estava direcionada a mais de 50.000 usuários, na qual uma suposta notificação automática informava as vítimas sobre um “chat não lido” através do Teams.

  • Falsas notificações de que a caixa de entrada do e-mail está cheia

Os atacantes enviam essas mensagens falsas indicando que o usuário não pode receber novos e-mails porque a caixa de entrada está cheia e, dessa forma, oferecem a possibilidade de "baixar" as mensagens que não chegaram. No entanto, ao clicar na opção de "baixar", os usuários caem na armadilha, pois eles acabam sendo direcionados para uma página de login falsa da Microsoft e, dessa forma, sofrem o roubo de suas credenciais.

É importante ter em conta que, como o Office 365 tem muitas ferramentas, cada uma pode ser usada como parte de uma nova estratégia de engenharia social. Por outro lado, existem muitos aplicativos fora da Microsoft, como o Zoom, que permitem integrar a ferramenta à conta do Outlook para realizar videoconferências e que, como mencionamos, faz com que os cibercriminosos utilizem a ferramenta como parte de sua engenharia social.

O que um atacante pode fazer com as credenciais de acesso ao Office 365?

Dependendo do tipo de credenciais que obtiveram, ao entrarem na rede do Office 365, os atacantes podem coletar, roubar ou destruir informações, inserir malwares, escalar privilégios na rede, mover-se lateralmente ou estabelecer persistência. Por outro lado, ao controlar uma conta do Office 365, um atacante pode realizar outros tipos de golpes, como o Business Email Compromise (BEC). A seguir, analisamos algumas das atividades que os atacantes podem realizar depois de obterem as credenciais de uma vítima.

Estabelecer persistência

Dependendo dos objetivos dos cibercriminosos, uma vez que conseguem obter as credenciais de uma vítima para acessar o serviço em nuvem, eles podem tentar manter a persistência de diferentes formas. Por exemplo:

  • Manipulação de contas para evitar o cancelamento do acesso. Ou seja, mudança de credenciais ou permissões da conta.
  • Criação de novas contas para estabelecer acesso secundário por meio de credenciais.
  • O lançamento de um aplicativo do Office, como um arquivo do Word com macros maliciosas.
  • Coleta de credenciais de acesso válidas.

Escalar privilégios

Com credenciais de acesso válidas, um atacante pode tentar aumentar os privilégios no sistema ou na rede. Isso pode ser feito aproveitando os pontos fracos, erros de configuração, vulnerabilidades, etc.

Executar tarefas de reconhecimento

Os atacantes também podem implementar diferentes técnicas de reconhecimento para construir um inventário do ambiente (software que usam, serviços em nuvem que executam, configurações para grupos e permissões, lista de contas) e, dessa forma, aprender mais sobre a vítima e, consequentemente, avaliar como agir.

Mover-se lateralmente

Os atacantes também podem usar técnicas para se mover lateralmente dentro da rede para acessar e/ou controlar sistemas dentro dela.

Coletar informações ou inserir malwares

Ao acessa a rede por meio da implementação de diferentes estratégias e técnicas, os atacantes podem coletar dados e informações de interesse, de acordo com seu objetivo ou inserir malwares. Por exemplo, eles podem obter informações de repositórios compartilhados na nuvem (Sharepoint) ou acessar e-mails.

Manipular, alterar ou destruir dados ou parte do sistema

Através de certas técnicas que são usadas com o objetivo de manipular, alterar ou destruir dados ou parte do sistema, os atacantes podem colocar as operações de uma empresa em risco, afetando a disponibilidade ou comprometendo sua integridade, destruindo informações ou usando um ransomware. Após obter acesso a rede do Office, os cibercriminosos também podem realizar ataques DoS.

Quais medidas de segurança podem ser implementadas para proteger o Office 365?

Embora existam soluções de segurança direcionadas à nuvem, como o ESET Cloud Office Security (ECOS), que fornecem proteção contra ataques de malware, spam e phishing, algumas dicas da Cybersecurity and Infrastructure Security Agency (CISA) são:

  • Ativar a autenticação multifator para contas de administrador
  • Atribuir funções de administrador usando controle de acesso baseado em funções (RBAC)
  • Habilitar a trilha de auditoria unificada (UAL)
  • Habilitar a autenticação multifator para todos os usuários
  • Desativar a autenticação do protocolo herdado sempre que corresponda
  • Ativar alertas para atividades suspeitas
  • Incorporar o Microsoft Secure Score
  • Integrar os registros com a ferramenta SIEM usada

Confira um infográfico que resume os pontos mais importantes deste artigo: