Auditoría Office 365: Verificación de MFA y Acceso Externo
OFFICE 365
El Desafío
Mantener el cumplimiento de seguridad en Office 365 es complejo. Los administradores globales sin Autenticación Multifactor (MFA) representan un punto único de falla crítico, y el uso compartido de archivos en SharePoint puede salirse de control silenciosamente, exponiendo datos confidenciales a usuarios externos.
El objetivo era realizar un escaneo completo para:
- Identificar cuentas privilegiadas (Global Admins) vulnerables (sin MFA)
- Mapear accesos externos (Guests) en sitios críticos
- Generar un informe de cumplimiento objetivo y auditable
- Eliminar puntos ciegos de seguridad en el inquilino
El Prompt Enviado a Myrmex
Usando la integración con el inquilino de Office 365, enviamos:
Realice una auditoría de seguridad de las configuraciones actuales del inquilino de Office 365 @AINEXT.
Identifique cualquier cuenta de administrador global sin MFA habilitado y enumere
todos los usuarios externos con acceso a sitios confidenciales de SharePoint.
Proporcione un informe objetivo de estos hallazgos para la revisión de cumplimiento.
Nota: Myrmex actúa como un auditor externo, escaneando configuraciones y registros para entregar una "Radiografía" del estado de seguridad actual.
Lo Que Myrmex Hizo
Myrmex accedió a las configuraciones de directorio de Azure AD / Entra ID y a los permisos de SharePoint Online. Debido a limitaciones de API para leer el estado de MFA directamente, utilizó un enfoque inteligente basado en telemetría de inicio de sesión.
Resumen de la Auditoría
| Categoría | Estado | Hallazgo Principal |
|---|---|---|
| MFA Privilegiado | ⚠️ Parcial | 4 de 5 Admins Globales accedieron vía Factor Único. |
| Acceso Invitado | ✅ Seguro | Ningún usuario externo en el directorio. |
| SharePoint Ext. | ✅ Seguro | Raíz de SharePoint sin permisos para terceros. |
Análisis Detallado
1. Auditoría de MFA en Cuentas Privilegiadas
Myrmex analizó los últimos 30 días de registros de inicio de sesión para los 5 Administradores Globales identificados.
Metodología:
Cruce de eventos de inicio de sesión con el código de error 50074 (MFA Required) o tipos de autenticación "Single-Factor".
Resultados:
- Tecnologia Ainext: ✅ MFA Aplicado (Siempre solicitado).
- Rafael Freire: ⚠️ MFA No Observado (Inicio de sesión interactivo de factor único).
- Pedro Souza: ⚠️ MFA No Observado.
- Vinicius Silva: ⚠️ MFA No Observado.
- Marcelo Benevides: ⚠️ MFA No Observado.
Riesgo: El 80% de la superficie de ataque privilegiada está potencialmente expuesta a phishing de credenciales simple.
2. Escaneo de Exposición Externa (SharePoint)
Se realizó una enumeración en los permisos del sitio raíz y en el directorio de invitados.
Resultados:
- Guests en Azure AD: 0 encontrados.
- Permisos SharePoint: Ninguna permiso explícito para dominios externos.
Beneficios del Enfoque
🔍 Auditoría Basada en Evidencia
A diferencia de solo verificar una política ("¿Está encendido el MFA?"), Myrmex verificó la efectividad real ("¿Se solicitó MFA en el inicio de sesión?"). Esto descubre fallas en políticas de Acceso Condicional (ej: excepciones para "ubicaciones de confianza" que dejan brechas).
⚡ Rapidez en el Cumplimiento
Lo que tomaría horas navegando en múltiples portales (Entra ID, SharePoint Admin, Logs) se consolidó en un informe único y legible en segundos.
Resultado
Con la auditoría de Myrmex:
- ✅ Visibilidad de Riesgo Crítico: Identificación clara de admins operando sin MFA.
- ✅ Confirmación de Perímetro: Validación de que no hay datos fugándose a invitados externos.
- ✅ Base para Acción: La lista de usuarios sin MFA permite una remediación enfocada.
Variaciones del Prompt
El mismo patrón puede usarse para auditorías más profundas:
Para licenciamiento:
Audite el uso de licencias E5 en el inquilino.
Liste usuarios con licencias asignadas que no han iniciado sesión en los últimos 90 días.
Para retención de datos:
Verifique las políticas de retención de Exchange y Teams.
Confirme si hay políticas activas para datos con más de 5 años.