La NSA alerta de nuevos ataques contra los mecanismos de autenticación

La nube es un servicio cada vez más utilizado en Internet. Son muchas las plataformas que ofrecen a los usuarios la posibilidad de alojar contenido, usar herramientas en remoto, trabajar a distancia… Todo esto lógicamente requiere de medidas de seguridad para evitar que cualquiera pueda entrar y acceder al contenido. En este artículo nos hacemos eco de nuevos ataques que han descubierto desde la NSA y que afectan a los mecanismos de autenticación en la nube.

La NSA detecta ataques contra los mecanismos de autenticación

Desde la NSA, la Agencia de Seguridad Nacional de Estados Unidos, han lanzado una advertencia sobre dos nuevas técnicas de ataque que han descubierto contra los mecanismos de autenticación en la nube. Un problema que puede poner en riesgo la privacidad y seguridad de los usuarios.

Según indican, esto ocurre después de que los atacantes hayan obtenido acceso a la red local de la víctima. Se aprovechan del acceso privilegiado dentro del entorno local y de esta forma lograr romper los mecanismos de autenticación que utiliza una organización a la hora de otorgar acceso a la nube y a los recursos locales. Con esto logra además comprometer las credenciales de administrador.

Para ello pueden utilizar dos conjuntos de tácticas, técnicas y procedimientos diferentes, según los investigadores de seguridad detrás de este descubrimiento.

En el primero de estos dos conjuntos, los atacantes comprometen los componentes locales de una infraestructura SSO (inicio de sesión único) y roban la credencial o clave privada que se usa para firmar tokens SAML que utilizan esos procesos de inicio de sesión únicos.

Al utilizar las claves privadas, los atacantes posteriormente falsifican tokens de autenticación confiables y logran acceder a los recursos de la nube.

Bases de datos nativas en la nube

Indican además que si los piratas informáticos no logran adquirir una clave de firma local, buscarán la manera de obtener suficientes privilegios administrativos dentro de la nube para agregar un certificado malicioso que permita falsificar tokens SAML.

En el segundo de los dos conjuntos de tácticas, técnicas y procedimientos, los ciberdelincuentes aprovechan una cuenta de administrador global comprometida para asignar credenciales a los directores de servicios de aplicaciones en la nube. Posteriormente, los piratas informáticos invocan las credenciales de la aplicación para el acceso automatizado a los recursos de la nube (en muchas ocasiones el correo electrónico).

Se basan en la confianza de los componentes locales que realizan la autenticación, asignan privilegios y firman tokens SAML. En caso de que alguno de los componentes se ve comprometido, entonces esa confianza en los tokens de autenticación de los componentes se descontrola y se puede abusar de ellos para el acceso no autorizado.

Estos investigadores de seguridad indican que para evitar estos problemas es necesario bloquear la configuración de SSO y fortalecer los sistemas que ejecutan servicios de identidad.

Hay que recordar la gran importancia de proteger la seguridad de la nube. Son muchos los ataques que podemos sufrir y que, de una u otra forma, podrían poner en riesgo nuestros equipos. En otro artículo damos algunos consejos para trabajar en la nube con seguridad. Algo que ha aumentado mucho también en los últimos tiempos es el teletrabajo y hay que protegerse.