Evite los ataques de carga lateral en Windows y Office 365

Los atacantes saben cómo administrar y monitorear nuestros sistemas mejor que nosotros cuando analizan la mejor manera de acceder a nuestras redes. Cada vez más inteligentes, han encontrado una manera de implementar malware en nuestras redes a través de un proceso llamado transferencia o "transferencia", que implica atrapar código malicioso en una aplicación ofrecida desde una fuente confiable como Microsoft Store. Sophos publicó recientemente una publicación de blog sobre un ataque que intentó engañar al personal del editor con un correo electrónico dirigido y luego usó la descarga para instalar una aplicación personalizada alojada en Microsoft Store (ahora retirada). La aplicación supuestamente instaló malware y ransomware en una red. También hemos visto a atacantes usar aplicaciones de Office 365 de terceros para obtener acceso a una red y robar información clave. Entonces, ¿qué opciones tiene para bloquearse y defenderse de los ataques de carga lateral?

Primero, capacitar a los usuarios finales es una forma fundamental de mantener segura su red. Un empleado suficientemente paranoico a menudo se detendrá, pensará y hará clic en algo, y enviará el correo electrónico ofensivo al soporte para que lo revise. También se recomienda ejecutar simulaciones de phishing para ver si los empleados están al tanto del phishing.

Bloquear ataques de carga lateral con Intune

Puede bloquear la descarga mediante la directiva de grupo, la configuración del registro o la configuración de Intune. En Intune, puede establecer una política de restricción de dispositivos de Windows 10 haciendo lo siguiente:

- Cree el perfil en el Centro de administración de Microsoft Endpoint Manager;
- Seleccione en el orden "Periféricos", "Perfiles de configuración" y "Crear un perfil";
- En "Plataforma", elija "Windows 10 y versiones posteriores";
- En la sección "Perfil", seleccione "Restricciones del dispositivo" o seleccione "Plantillas" y luego "Restricciones del dispositivo";
- Seleccione "Crear";
- En "Básicos", ingrese un nombre descriptivo para la política, así como una descripción de la política para que pueda seguir la configuración;
- Seleccione "Siguiente";
- Verifique los parámetros en "Parámetros de configuración";
- Seleccione "Siguiente";
- Definir etiquetas de alcance para identificar mejor la plataforma que administra y rastrear dónde establece la política;
- Seleccione "Siguiente";
- Elija Asignaciones para seleccionar los usuarios o grupos que recibirán esta política.
- Seleccione "Siguiente" y luego "Revisar y crear";
- Elija limitar el acceso a Microsoft Store;
- Seleccione "Instalación de aplicaciones confiables" y elija "Bloquear" de las opciones siguientes para evitar la instalación de aplicaciones que no sean de Microsoft en Windows 10 y 11. No configurado (predeterminado): Intune no modifica ni actualiza este parámetro;
- Bloque: Evita la carga lateral. No se pueden instalar aplicaciones que no sean de Microsoft Store;
- Permitir: permite la carga lateral. Se pueden instalar aplicaciones que no sean de Microsoft Store.

Bloquear ataques de carga lateral mediante la política de grupo

También puede seguir estos pasos en la Política de grupo para bloquear los ataques de transferencia. Seleccione en orden: "Configuración del equipo", "Plantillas administrativas", "Componentes de Windows" y "Implementación del paquete de aplicaciones". Luego seleccione y desactive estas dos configuraciones:

- Autorizar el desarrollo de aplicaciones de la Tienda Windows y su instalación desde un entorno de desarrollo integrado (IDE);
- Permitir que se instalen todas las aplicaciones de confianza.

La desactivación de estas políticas garantiza que las aplicaciones maliciosas de descarga lateral no se puedan infiltrar en la plataforma. También significa que no se pueden instalar aplicaciones legítimas de Microsoft Store, por lo que es posible que deba activarlas y desactivarlas si es necesario.

Bloquear ataques de descarga lateral mediante una clave de registro

Para bloquear la descarga a través de una clave de registro, cambie la máquina local HKEY, luego busque la configuración en Software, Políticas, Microsoft, Windows y Aplicación. Utilice un valor DWORD de "0" para bloquear la carga lateral.

Subárbol del registro HKEY_LOCAL_MACHINE
Ruta del registro Software Políticas Microsoft Windows Appx
Nombre de valor AllowAllTrustedApps
Tipo de valor REG_DWORD
Valor habilitado 1
Valor desactivado 0

Prevención de ataques de descarga lateral en Office 365

También hemos visto informes de que se han utilizado aplicaciones de Office 365 de terceros para obtener más derechos sobre la red o robar información a través de una red. Recomiendo encarecidamente revisar la configuración de la política para "Administrar el consentimiento del usuario para las aplicaciones en Microsoft 365" y configurar un flujo de aprobación del administrador para que cualquier usuario que solicite acceso a una aplicación o autorice por acceso inadvertido a una aplicación de terceros debe pasar por un usuario proceso de aprobación.

En el centro de administración, seleccione en orden: "Configuración", "Configuración de la organización", "Página de servicios", "Consentimiento del usuario para las aplicaciones" y "Activar o desactivar el consentimiento del usuario. Usuario". Es posible que desee delegar derechos de aprobación para tales solicitudes a ciertos usuarios. Aunque la aprobación puede provenir de un administrador global, es posible que esto no sea posible en una red más grande. Las aprobaciones también se pueden pasar a un administrador de aplicaciones en la nube o un administrador de aplicaciones.

Para configurar los derechos de aprobación, siga estos pasos:

- Inicie sesión en Azure Portal como administrador global.
- Seleccione "Todos los servicios" en la parte superior del menú de navegación de la izquierda. En el cuadro de búsqueda del filtro Extensión de Azure Active Directory, escriba "Azure Active Directory".
- Seleccione el elemento Azure Active Directory. En el menú de navegación, seleccione "Aplicaciones empresariales". En "Administrar", seleccione "Configuración de usuario". En "Solicitudes de consentimiento del administrador", establezca "Los usuarios pueden solicitar el consentimiento del administrador para las aplicaciones que no pueden consentir" en "Sí".
- Seleccione usuarios para revisar las solicitudes de consentimiento del administrador para este flujo de trabajo de un conjunto de usuarios que tienen las funciones de Administrador global, Administrador de aplicaciones en la nube o Administrador de aplicaciones. Debe designar al menos un revisor antes de poder activar el flujo de trabajo. Estos usuarios deben tener al menos un rol de administrador de aplicaciones antes de que el rol entre en vigor; simplemente seleccionar los nombres de usuario no los elevará a la derecha.

Los usuarios seleccionados recibirán notificaciones por correo electrónico para las solicitudes. Querrá habilitar o deshabilitar las notificaciones por correo electrónico a los revisores cuando se realiza una solicitud. Los usuarios seleccionados recibirán recordatorios de caducidad de solicitudes. Habilite o deshabilite las notificaciones por correo electrónico de recordatorio a los revisores cuando una solicitud esté a punto de vencer. Finalmente, establezca el número de días después de los cuales caduca una solicitud de consentimiento. El usuario en la función de revisión administrativa debe estar capacitado para responder a estos procesos de aprobación dentro de un plazo razonable. Los atacantes saben que los usuarios suelen instalar aplicaciones. Asegúrese de que la configuración de su red proteja su red de dichos procesos de entrada. A continuación, "parche" a sus humanos y entrénelos para que sean más conscientes de estas técnicas de ataque.