Microsoft advierte sobre ataques basados ​​en aplicaciones que explotan OAuth 2.0

10 Julio 2020
Informativo

Debido al contexto de trabajo remoto generalizado y el aumento en el uso de aplicaciones colaborativas, los actores maliciosos estarían efectuando ataques basados ​​en aplicaciones que explotan OAuth 2.0, advierte Microsoft.

OAuth

OAuth es un estándar abierto para la delegación de acceso, comúnmente utilizado como una forma para que las personas inicien sesión en los servicios sin ingresar una contraseña, utilizando el estado de inicio de sesión en otro servicio confiable o sitio web. El ejemplo más visible podría ser el "Iniciar sesión con Google" o "Iniciar sesión con Facebook" que muchos sitios web usan en lugar de pedirles a los visitantes que creen una nueva cuenta. Estas indicaciones de "Sign in" o "Log in" se denominan indicaciones de consentimiento.

Utilizado por una variedad de compañías en línea, incluidas Microsoft, Google y Facebook, OAuth es una forma de tratar de simplificar el proceso de inicio de sesión y autorización para aplicaciones y sitios web a través de un mecanismo de inicio de sesión único. Sin embargo, como ocurre con muchas tecnologías, los ciberdelincuentes han encontrado la forma de explotar OAuth, ya que está solicita permisos que deben ser autorizados por el usuario.

Phishing por consentimiento

Según Microsoft, el phishing por consentimiento, que es una forma de ataque basado en aplicaciones que aprovecha OAuth, está en aumento.

  • "Aquí es donde los atacantes engañan a los usuarios para que otorguen a una aplicación maliciosa acceso a datos confidenciales u otros recursos".
  • "En lugar de intentar robar la contraseña del usuario, un atacante busca permiso para que una aplicación controlada por el atacante acceda a datos valiosos".

Ataque de Phishing por consentimiento

Si bien cada ataque tiende a variar, los pasos principales generalmente se ven así :

  1. Un atacante registra una aplicación con un proveedor de OAuth 2.0, como Azure Active Directory.
  2. La aplicación está configurada de manera que parezca confiable, como el uso del nombre de un producto popular utilizado en el mismo ecosistema.
  3. El atacante obtiene un enlace frente a los usuarios, que se puede realizar mediante phishing convencional por correo electrónico, comprometiendo un sitio web no malicioso o mediante otras técnicas.
  4. El usuario hace clic en el enlace y se le muestra un mensaje de consentimiento auténtico pidiéndole que otorgue permisos de aplicación maliciosa a los datos.
  5. Si un usuario hace clic en “Aceptar”, concede a la aplicación permisos para acceder a datos confidenciales.
  6. La aplicación obtiene un código de autorización, que canjea por un token de acceso, y potencialmente un token de actualización.
  7. El token de acceso se utiliza para realizar llamadas a la API en nombre del usuario.
  8. El atacante puede obtener acceso al correo del usuario, reglas de reenvío, archivos, contactos, notas, perfil, todas las aplicaciones cloud (como Google Drive y Microsoft OneDrive) y otros datos confidenciales.

Si el usuario acepta, el atacante puede obtener acceso a su correo, reglas de reenvío, archivos, contactos, notas, perfil y otros datos o recursos confidenciales.

Microsoft

La explotación de una tecnología como OAuth tiene éxito en gran parte debido a la falta de conocimiento y conciencia del usuario al momento de leer que están permitiendo, al confiar ciegamente en el proveedor de autenticación y no entender que los permisos serán otorgados a un tercero.

Microsoft explica:
Nuestras soluciones de seguridad integradas de gestión de identidad y acceso, gestión de dispositivos, protección contra amenazas y seguridad en la nube nos permiten evaluar y monitorear billones de señales para ayudar a identificar aplicaciones maliciosas. A partir de nuestras señales, hemos podido identificar y tomar medidas para remediar aplicaciones maliciosas al deshabilitarlas y evitar que los usuarios accedan a ellas. En algunos casos, también hemos tomado medidas legales para proteger aún más a nuestros clientes”.

A pesar de los esfuerzos de Microsoft y otras compañías, estos ataques persisten ya que los ciberdelincuentes están un paso por delante del juego.

Mitigación

Para ayudar a proteger contra las campañas de phishing por consentimiento, Microsoft ofrece consejos para individuos y organizaciones.

Para individuos:

  • Comprenda los datos y permisos que solicita una aplicación y comprenda cómo funcionan los permisos y el consentimiento dentro de la plataforma de Microsoft .
  • Verifique la falta de ortografía y gramática . Si un mensaje de correo electrónico o la pantalla de consentimiento de la aplicación tiene errores ortográficos y gramaticales, es probable que sea una aplicación sospechosa.
  • Esté atento a los nombres de las aplicaciones y las URL de dominio . A los atacantes les gusta falsificar nombres de aplicaciones que hacen que parezcan provenir de aplicaciones o compañías legítimas, pero lo llevan a dar su consentimiento a una aplicación maliciosa. Asegúrese de reconocer el nombre de la aplicación y la URL del dominio antes de acceder a una aplicación.

Para organizaciones:

  • Comprenda los datos y permisos que solicita una aplicación y comprenda cómo funcionan los permisos y el consentimiento dentro de la plataforma de Microsoft .
  • Asegurar que los administradores sepan gestionar y evaluar las solicitudes de consentimiento .
  • Audite las aplicaciones y los permisos consentidos en su organización para garantizar que las aplicaciones que se utilizan accedan sólo a los datos que necesitan y cumplan con los principios de menor privilegio.
  • Promueva el uso de aplicaciones que hayan sido verificadas por el editor. La verificación del editor ayuda a los administradores y usuarios finales a comprender la autenticidad de los desarrolladores de aplicaciones. Hasta el momento se han verificado más de 660 solicitudes de 390 editores.
  • Configure las políticas de consentimiento de la aplicación permitiendo que los usuarios den su consentimiento sólo a las aplicaciones en las que confía, como las aplicaciones desarrolladas por su organización o por editores verificados.

Tags: #OAuth #microsoft #Phishing #consentimiento


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.