OAuth se ha convertido en un estándar fundamental para la delegación de acceso en aplicaciones. Sin embargo, los crecientes incidentes relacionados con aplicaciones OAuth maliciosas, especialmente en plataformas como Office 365, ponen de manifiesto una importante vulnerabilidad. Esta vulnerabilidad persiste incluso con medidas de autenticación multifactor (MFA).
Las limitaciones de la AMF en la ciberseguridad de OAuth
Aunque la autenticación multifactor (MFA ) es un paso crucial para asegurar las cuentas online, no es infalible. Los ciberatacantes están desarrollando continuamente métodos para eludir estas medidas de seguridad, y uno de ellos implica el uso de aplicaciones Azure/O365 OAuth maliciosas. Los recientes y sofisticados ataques a entidades gubernamentales y empresariales, de los que ha informado el primer ministro australiano, ponen de manifiesto este panorama de amenazas en evolución.
Estudio de caso: Aplicación OAuth maliciosa para Office 365
La autenticación multifactor (MFA) es un gran paso a dar, pero siempre hay formas de eludir los controles preventivos. Una de las técnicas de elusión de MFA más conocidas es la instalación de aplicaciones OAuth Azure/O365 maliciosas. Por si quedaba alguna duda, los recientes ataques al Gobierno y a empresas denunciados por el primer ministro australiano constituyen un poderoso recordatorio. Los actores respaldados por el Estado responsables de los ataques aprovecharon OAuth, una técnica estándar utilizada para la delegación de acceso en apps para obtener acceso no autorizado a cuentas cloud como Microsoft Office 365.
Por lo que se ha informado, los atacantes crearon una aplicación maliciosa de Office 365 para enviarla a los usuarios objetivo como parte de un enlace de spear phishing . La aplicación se hace pasar por legítima; en este caso, el nombre de la aplicación era similar al de una conocida solución de filtrado de correo electrónico muy utilizada en el gobierno australiano. Al recibirla, la aplicación maliciosa convence a la víctima para que conceda permiso para acceder a los datos de la cuenta del usuario. En concreto, a datos como el acceso sin conexión, la información del perfil del usuario y la posibilidad de leer, mover y eliminar mensajes de correo electrónico.
Una vez conseguido, el atacante tendría acceso directo a una cuenta interna de Office 365. Una plataforma perfecta para hacer phishing a otros objetivos internos o realizar acciones maliciosas dentro de Office 365 relacionadas con SharePoint, OneDrive, Exchange y Teams.
El sigilo de las aplicaciones OAuth maliciosas
Este tipo de ataques son particularmente insidiosos, ya que no implican la ejecución de código malicioso en el endpoint, eludiendo así la detección por parte del software de seguridad de endpoint convencional. Además, una aplicación OAuth de Office 365 legítimamente construida puede proporcionar a los atacantes acceso persistente a las cuentas de usuario, sin verse afectada por los cambios de contraseña o los protocolos MFA.
Perspectivas de futuro y medidas preventivas
Se espera que aumente la prevalencia de ataques maliciosos a aplicaciones OAuth, especialmente porque Office 365 permite a los usuarios finales instalar aplicaciones sin aprobación administrativa. Una estrategia de ciberseguridad sólida debe incluir soluciones basadas en la detección capaces de identificar y responder a actividades sospechosas como intentos de inicio de sesión inusuales, instalaciones de aplicaciones no autorizadas y uso indebido de funciones nativas de Office 365.
Vectra CDR para Office 365 - Una solución
Para combatir estas sofisticadas amenazas, Vectra Cloud Detection and Response para Office 365 ofrece una solución especializada. Se centra en el análisis y la correlación de eventos que indican posibles brechas de seguridad, lo que permite a los equipos de seguridad responder de forma proactiva. Para obtener información más detallada, consulte nuestra hoja de datos o experiméntelo de primera mano con una prueba.