![\"\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2017\/08\/21151105\/Featured-services-as-a-weapon.jpg\")
<\/p>\nLos hackers han ido a lo grande al hacer exploit de software leg\u00edtimo. Varios informes de la conferencia Black Hat 2017 demostraron que las soluciones empresariales de Microsoft podr\u00edan ser bastante \u00fatiles en manos de un atacante.<\/p>\n
Las empresas que utilizan nubes h\u00edbridas deben adoptar consideraciones de seguridad diferentes a las que utilizan sistemas de nube tradicional. Sin embargo, en la pr\u00e1ctica no se est\u00e1n actualizando con la rapidez suficiente y ello est\u00e1 dando a lugar numerosos puntos ciegos de seguridad que los atacantes pueden explotar, como se demostr\u00f3 en julio en la conferencia Black Hat 2017. Los estudios demostraron que la infraestructura de una t\u00edpica oficina puede ayudar a los atacantes a permanecer invisibles para la mayor\u00eda de las soluciones de seguridad.<\/p>\n
<\/p>\n
Una vez que los hackers con motivaci\u00f3n financiera se hayan infiltrado en una red corporativa, su mayor dificultad es lograr el intercambio de datos encubiertos entre los dispositivos infectados. Sobre todo, su objetivo es que los dispositivos infectados reciban comandos y transmitan informaci\u00f3n robada sin alterar los sistemas de detecci\u00f3n de intrusiones (SDI) y los sistemas de prevenci\u00f3n de p\u00e9rdida de datos (PPD). Al ayudar a tales atacantes, los servicios de Microsoft a veces no funcionan bajo restricciones de zona de seguridad, por lo que los datos transmitidos por estos servicios no analizan lo suficiente.<\/p>\n
Un estudio de Ty Miller y Paul Kalinin de Threat Intelligence muestra como los bots pueden comunicarse a trav\u00e9s de los servicios de Active Directory (AD) de una red corporativa porque todos los clientes, incluyendo los m\u00f3viles, de una red y la mayor\u00eda de los servidores deben acceder al servidor AD (el punto de comunicaci\u00f3n central) para la autenticaci\u00f3n, lo que es muy conveniente para administrar una red de bots. Por otra parte, los investigadores dicen que la integraci\u00f3n de Azure AD con un servidor de la empresa AD concede acceso directo a una botnet desde el exterior.<\/p>\n
\u00bfC\u00f3mo puede ayudar AD a administrar una red de bots y extraer datos? El concepto es muy simple. De forma predeterminada, cada cliente de la red puede actualizar su informaci\u00f3n (por ejemplo, el n\u00famero de tel\u00e9fono del usuario y la direcci\u00f3n de correo electr\u00f3nico) en el servidor AD. Los campos habilitados para escritura son los de alta capacidad que pueden almacenar hasta un megabyte de datos. Otros usuarios de AD pueden leer toda esta informaci\u00f3n, creando as\u00ed un canal de comunicaci\u00f3n.<\/p>\n
![\"\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2017\/08\/21151134\/Micropsoft-Services-1.png\")
<\/p>\n
Los investigadores recomiendan buscar cambios peri\u00f3dicos e inusuales en los campos de AD y deshabilitar la capacidad de los usuarios de escribir en la mayor\u00eda de estos.<\/p>\n
![\"\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2017\/08\/21151148\/Micropsoft-Services-2.png\")
<\/p>\n
Un estudio de Craig Dods de Juniper Networks habla sobre otra t\u00e9cnica para la extracci\u00f3n encubierta de datos que hace uso de los servicios de Office 365. La m\u00e1s popular entre las t\u00e9cnicas emplea OneDrive para los negocios, que casi el 80 % de los clientes de Microsoft Online Services utilizan. A los hackers les gusta porque los usuarios corporativos m\u00e1s peque\u00f1os suelen fiarse de los servidores de Microsoft, permitiendo conexiones de alta velocidad a los mismos y omitiendo el descifrado para subir archivos. Como resultado, la tarea de un hacker es conectar un disco OneDrive en el equipo objetivo usando otras credenciales de usuario no empresariales. En ese caso, copiar datos a OneDrive no se considera un intento de abandonar el per\u00edmetro, ya que los sistemas de seguridad suponen que el disco conectado es uno de la empresa. El disco se puede conectar en modo invisible, disminuyendo las posibilidades de detecci\u00f3n. El atacante necesita dos herramientas m\u00e1s de Microsoft para ello: Internet Explorer y PowerShell. Como resultado, un robot puede copiar libremente datos en su propio disco y el atacante puede simplemente descargarlo desde OneDrive.<\/p>\n
![\"\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2017\/08\/21151258\/Micropsoft-Services-3.png\")
<\/p>\n
Seg\u00fan Dods, para mantenerse protegido contra tal ataque, los usuarios necesitan restringir el acceso para permitir solo los subdominios de Office 365 que ya pertenecen a la empresa. Tambi\u00e9n se recomienda realizar una inspecci\u00f3n profunda del tr\u00e1fico cifrado y analizar el comportamiento de los scripts de PowerShell con cautela.<\/p>\n
Tambi\u00e9n hay que tener en cuenta que ambas amenazas siguen siendo solo hipot\u00e9ticas. Para utilizar las tecnolog\u00edas, los ciberdelincuentes tienen que empezar por filtrarse en la infraestructura de una v\u00edctima. Una vez hecho, sin embargo, su actividad ser\u00e1 indetectable no s\u00f3lo para la mayor\u00eda de las soluciones de seguridad actualizadas, sino tambi\u00e9n para el observador desprevenido. Es por ello que tiene sentido buscar peri\u00f3dicamente vulnerabilidades en la infraestructura inform\u00e1tica. Por ejemplo, tenemos un conjunto completo de servicios profesionales<\/a> para analizar lo que ocurre en tu infraestructura desde la perspectiva de la seguridad de la informaci\u00f3n y, si es necesario, comprobar si hay intrusiones en el sistema.<\/p>\n\n","protected":false},"excerpt":{"rendered":" Black Hat 2017 demostr\u00f3 que las soluciones empresariales de Microsoft podr\u00edan ser bastante \u00fatiles para los atacantes. <\/p>\n","protected":false},"author":32,"featured_media":14096,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2202,2755],"tags":[2319,2330,2341,891,2327,2342],"class_list":{"0":"post-14087","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-smb","9":"tag-bhusa","10":"tag-klbh17","11":"tag-active-directory","12":"tag-black-hat","13":"tag-black-hat-2017","14":"tag-office-360"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/services-as-a-weapon\/14087\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/services-as-a-weapon\/11095\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/services-as-a-weapon\/9192\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/services-as-a-weapon\/4926\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/services-as-a-weapon\/12406\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/services-as-a-weapon\/11630\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/services-as-a-weapon\/11158\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/services-as-a-weapon\/14099\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/services-as-a-weapon\/18452\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/services-as-a-weapon\/17971\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/services-as-a-weapon\/9589\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/services-as-a-weapon\/14420\/"},{"hreflang":"zh","url":"https:\/\/www.kaspersky.com.cn\/blog\/services-as-a-weapon\/8296\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/services-as-a-weapon\/17703\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/services-as-a-weapon\/17709\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/services-as-a-weapon\/17670\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/black-hat\/","name":"black hat"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/14087","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/32"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=14087"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/14087\/revisions"}],"predecessor-version":[{"id":14250,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/14087\/revisions\/14250"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/14096"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=14087"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=14087"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=14087"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}