Los ataques observados afectan a implementaciones de autenticaci\u00f3n de Microsoft Entra ID<\/strong> (anteriormente Azure AD) que tengan habilitado el flujo de autenticaci\u00f3n Device Code Flow<\/em> u OAuth Device Authorization Grant.<\/strong><\/p>\n\n\n\n Productos y servicios impactados potencialmente:<\/p>\n\n\n\n Recientemente, Microsoft Threat Intelligence revel\u00f3 una campa\u00f1a activa<\/strong> atribuida al grupo de amenazas Storm-2372<\/strong>, actor alineado presuntamente con intereses rusos, que est\u00e1 explotando el flujo de autenticaci\u00f3n Device Code Flow<\/em> de Microsoft Entra ID para evadir controles de autenticaci\u00f3n multifactor (MFA)<\/strong> y pol\u00edticas de acceso condicional. Esta t\u00e9cnica afecta directamente entornos Microsoft 365 y Azure AD\/Entra ID, permitiendo a los atacantes secuestrar sesiones autenticadas y obtener acceso persistente a cuentas corporativas.<\/p>\n\n\n\n El ataque no aprovecha una falla de software tradicional, sino un abuso del mecanismo OAuth 2.0 dise\u00f1ado para dispositivos con capacidades limitadas de entrada, como Smart TVs, dispositivos IoT o terminales sin navegador completo. Los atacantes generan un c\u00f3digo leg\u00edtimo de autenticaci\u00f3n desde infraestructura real de Microsoft y posteriormente enga\u00f1an a las v\u00edctimas mediante correos spear phishing o mensajes por Signal, WhatsApp o Microsoft Teams para que ingresen dicho c\u00f3digo en el portal oficial microsoft.com\/devicelogin. Una vez que la v\u00edctima autentica exitosamente y completa MFA, el atacante recibe autom\u00e1ticamente un token OAuth v\u00e1lido que le permite acceder a la cuenta sin necesidad de robar credenciales ni contrase\u00f1as.<\/p>\n\n\n\n Uno de los aspectos m\u00e1s preocupantes es que este m\u00e9todo puede eludir m\u00faltiples mecanismos defensivos tradicionales. Debido a que la autenticaci\u00f3n ocurre contra infraestructura leg\u00edtima de Microsoft y el usuario realmente completa MFA, muchas soluciones antiphishing, filtros de reputaci\u00f3n URL y controles de seguridad basados en robo de credenciales no detectan la actividad maliciosa. Adem\u00e1s, si las pol\u00edticas de Conditional Access no contemplan expl\u00edcitamente el tr\u00e1fico asociado a \u201cOther clients\u201d o Device Code Authentication, los atacantes pueden autenticarse desde sesiones consideradas confiables y heredar el nivel de confianza ya existente del usuario comprometido.<\/p>\n\n\n\n Tras obtener acceso inicial, los actores de amenaza han sido observados realizando enumeraci\u00f3n mediante Microsoft Graph API, robo de correos electr\u00f3nicos, persistencia mediante refresh tokens, movimiento lateral y acceso continuo a recursos corporativos. Microsoft confirm\u00f3 que las campa\u00f1as activas han afectado sectores gubernamentales, defensa, telecomunicaciones, salud, educaci\u00f3n, energ\u00eda y empresas tecnol\u00f3gicas en m\u00faltiples regiones del mundo desde agosto de 2024.<\/p>\n\n\n\n Microsoft recomienda bloquear completamente el uso de Device Code Flow cuando no sea estrictamente necesario dentro del entorno corporativo. Esto puede realizarse mediante pol\u00edticas de Conditional Access en Microsoft Entra ID, restringiendo espec\u00edficamente autenticaciones provenientes de \u201cOther clients\u201d o flujos de autenticaci\u00f3n heredados.<\/p>\n\n\n\n Gu\u00eda oficial de Microsoft:<\/p>\n\n\n\n\n
Descripci\u00f3n<\/h2>\n\n\n\n
Soluci\u00f3n:<\/h2>\n\n\n\n
\n
\n
<\/h2>\n\n\n\n
Informaci\u00f3n adicional:<\/h2>\n\n\n\n
\n