Romper las reglas de seguridad del correo electrónico
El lado oscuro de la seguridad del correo electrónico: cómo las reglas y subcarpetas son aprovechadas por los ciberdelincuentes.
Los sistemas de correo electrónico son el corazón palpitante de las empresas, permitiendo la comunicación dentro y fuera de la organización. Que el 94% de los ataques cibernéticos comienza en el correo e
lectrónico, deja claro que los ciberdelincuentes saben cómo eludir las herramientas convencionales de seguridad del correo electrónico. Hoy revisamos cómo los piratas informáticos aprovechan la función básica de buzón, «subcarpetas», para infiltrarse en las redes corporativas y exploraremos estrategias prácticas de remediación para ayudar a las empresas a mantenerse protegidas.
Cuando las reglas caen en las manos equivocadas
Las reglas del buzón de correo electrónico se utilizan como una forma efectiva de organizar y controlar grandes cantidades de tráfico entrante. Se pueden usar para reenviar ciertos mensajes de correo electrónico entrantes a carpetas o destinos específicos (direcciones de correo electrónico), para eliminar mensajes o incluso para enviar una respuesta automáticamente. El problema comienza cuando el ciberdelincuente es capaz de obtener el control de un buzón individual y crear reglas con intenciones maliciosas. Se traduce en reglas que envían mensajes con información confidencial a un servidor externo, eliminan mensajes con información valiosa, abren un archivo adjunto, ejecutan una aplicación, inician archivos EXE, URL o ZIP, acceden a una URL remota para descargar un archivo e incluso formatean la información crítica para manipular los informes forenses.
Las amenazas ocultas de las reglas de correo
Una vez que las reglas de despliegan, el atacante se establece en el Sistema y solo necesita un acceso continuado, aunque el administrador de TI cambie la contraseña del usuario, aplique una contraseña multifactor o incluso cambie al usuario a una nueva estación de trabajo; siempre que exista la regla, el exploit permanecerá activo. Según un comunicado público del FBI, solo en los Estados Unidos, el coste de los ataques contra las cuentas de correo instaladas en la nube supusieron un coste de $2B: «A menudo, los actores configuran las reglas del buzón de la cuenta comprometida para eliminar mensajes clave. También pueden habilitar el reenvío automático a una cuenta de correo electrónico externa.
¿Quién gobierna las reglas?
Para abordar eficazmente el problema de las reglas no nativas en el correo, Microsoft sugiere una solución práctica en uno de sus blogs de aprendizaje M365. Recomiendan usar un script de PowerShell denominado herramienta de investigación de O365 (o Get-AllTenantRulesAndForms.ps1). Este script automatiza el proceso de recuperación de todas las reglas de reenvío de correo y formularios personalizados para todos los usuarios del dominio. Según Microsoft, este método es eficiente en el tiempo y seguro para obtener comentarios iniciales.
Para utilizar el script de PowerShell, es importante tener en cuenta que se requieren permisos de Administrador Global. Si se identifica la presencia de una regla no nativa, la solución es bastante fácil: se eliminará la regla del buzón mediante el cliente de Outlook Exchange PowerShell.
Es responsabilidad del Administrador asegurarse que no existen reglas con elementos extraños tanto del lado de Cliente como del lado de Servidor.
Más allá de la gran bandeja de Entrada
Los sistemas de correo electrónico convencionales normalmente incorporan carpetas predeterminadas como “bandeja de entrada”, “elementos enviados”, “borradores”, “elementos eliminados” y “correo no deseado”. Sin embargo, con un promedio de 160 correos electrónicos gestionados al día, dentro y fuera de la organización, la mayoría de los usuarios utilizan subdirectorios (o subcarpetas) para administrar sus bandejas de entrada. Si bien las subcarpetas son una práctica común, existe la creencia errónea respecto a que las herramientas de seguridad de correo electrónico escanean cada mensaje entrante que llega a la cuenta del usuario, cuando en realidad muchas de esas soluciones solo analizan el tráfico que llega a la carpeta “bandeja de entrada”. En otras palabras, cualquier mensaje que por cualquier razón (o regla) se redirija a una subcarpeta diferente que no sea la “bandeja de entrada” prácticamente «renuncia» a su comprobación de seguridad.
Independientemente de si las subcarpetas creadas por reglas fueron configuradas por usuarios, administradores o piratas informáticos (a través de las propiedades de Exchange Online, MAPI Editor, Microsoft Graph y M365), el resultado es el mismo; el tráfico entrante puede esquivar las herramientas de seguridad.
Tenga en cuenta que, en general, los usuarios no son conocedores de las reglas configuradas desde el Administrador… o los ciberdelincuentes.
Solución: un CDR integrado en M365
Independientemente de la complejidad de las reglas de seguridad de correo electrónico configuradas por los usuarios o la sofisticación empleada por los ciberdelincuentes que utilizan herramientas como MAPI Editor, desde MICROMOUSE proponemos la solución definitiva para proteger tu organización contra amenazas malware ocultas. Con una integración perfecta y compatibilidad completa con las aplicaciones empresariales de Microsoft 365, incluido Exchange Online, nuestra solución examina la estructura binaria de los archivos de uso común en cualquier subcarpeta, visibles u ocultas por igual. Además, realiza un análisis profundo en cualquier jerarquía de carpetas y subcarpetas de la estructura. Una vez escaneados todos los directorios, realiza un análisis profundo de los archivos adjuntos, neutralizando el posible código malicioso incrustado en ellos.
¿hablamos de Ciberseguridad?