Phishing por consentimiento de OAuth aumenta con los ataques de Microsoft Office 365

Se ha detectado una APT conocida como TA2552 utilizando OAuth2 u otros métodos de autorización basados ​​en tokens para acceder a las cuentas de Office 365, con el fin de robar los contactos y el correo de los usuarios. OAuth es un estándar abierto para la delegación de acceso, comúnmente utilizado como una forma para […]

Se ha detectado una APT conocida como TA2552 utilizando OAuth2 u otros métodos de autorización basados ​​en tokens para acceder a las cuentas de Office 365, con el fin de robar los contactos y el correo de los usuarios.

OAuth es un estándar abierto para la delegación de acceso, comúnmente utilizado como una forma para que las personas inicien sesión en los servicios sin ingresar una contraseña, utilizando el estado de inicio de sesión en otro servicio o sitio web confiable. El ejemplo más visible podría ser el «Iniciar sesión con Google» o «Iniciar sesión con Facebook» que muchos sitios web utilizan en lugar de pedir a los visitantes que creen una nueva cuenta.

Según los investigadores de Proofpoint, los objetivos reciben señuelos bien elaborados que les piden que hagan clic en un enlace que los lleva a la página de consentimiento de aplicaciones legítimas de terceros de Microsoft .

“Una vez que inició sesión en su cuenta de O365 (Office 365), el usuario es redirigido al proceso de consentimiento oficial de O365 que le solicita que otorgue permisos a la aplicación del actor”, explicaron. «Los dominios que capturan los tokens de OAuth a menudo se registran a través de Namecheap y se alojan en Cloudflare».

Allí, se les pide que otorguen permisos de solo lectura a una aplicación de terceros (maliciosa) que se hace pasar por la aplicación de una organización real.

Los investigadores de Proofpoint agregaron que los usuarios deben conocer los permisos que solicitan estas y cualquier otra aplicación de terceros. En el caso de esta campaña, las aplicaciones maliciosas solicitan acceso de solo lectura a los contactos, el perfil y el correo del usuario, todo lo cual podría usarse para husmear en las cuentas, robar datos en silencio o incluso interceptar mensajes de restablecimiento de contraseña de otras cuentas. como banca en línea.

Agregaron: «Las aplicaciones no solicitan muchos permisos, y es posible que las que soliciten no parezcan de gran alcance, lo que les permite integrarse con otras aplicaciones benignas».

Si se otorga el consentimiento, la aplicación de terceros podrá acceder a la cuenta de Office 365 actualmente autenticada. Si se deniega el consentimiento, el navegador aún se redirige a una página controlada por el atacante, lo que le da al actor la oportunidad de volver a intentarlo con una táctica diferente.

Ataques de OAuth en aumento

En julio, Microsoft advirtió contra este tipo de ataques , que Agnieszka Girling, Gerente de Gestión de Gestión del Grupo de Socios de Microsoft, advirtió que iban en aumento. También conocido como suplantación de identidad por consentimiento, es un ataque fácil de llevar a cabo, dijo. Los atacantes solo necesitan registrar una aplicación maliciosa con un proveedor de OAuth 2.0, como el propio Azure Active Directory de Microsoft.

“La aplicación está configurada de una manera que la hace parecer confiable, como usar el nombre de un producto popular usado en el mismo ecosistema”, explicó Girling en ese momento. “El atacante obtiene un vínculo frente a los usuarios, lo que puede realizarse mediante suplantación de identidad convencional basada en correo electrónico, comprometiendo un sitio web no malicioso u otras técnicas. El usuario hace clic en el enlace y se le muestra un mensaje de consentimiento auténtico pidiéndole que otorgue permisos a los datos de la aplicación maliciosa «.

«La aplicación obtiene un código de autorización que canjea por un token de acceso y, potencialmente, un token de actualización», explicó Girling. “El token de acceso se utiliza para realizar llamadas a la API en nombre del usuario. Si el usuario acepta, el atacante puede obtener acceso a su correo, reglas de reenvío, archivos, contactos, notas, perfil y otros datos y recursos confidenciales «.

Los usuarios pueden protegerse asegurándose de que cualquier aplicación en la que estén iniciando sesión sea realmente legítima. También pueden aplicar estrategias básicas de concientización sobre phishing, como buscar una ortografía y gramática deficientes en los correos electrónicos originales. Además, los nombres de aplicaciones y las URL de dominio pueden ofrecer señales de alerta.