El equipo de investigación de Microsoft 365 Defender advirtió a los usuarios que estén en guardia contra un número creciente de ataques cibernéticos que abusan de las aplicaciones OAuth como parte de la cadena de ataque, después de investigar un incidente en el que se implementaron aplicaciones maliciosas de OAuth en inquilinos de la nube comprometidos y luego se usaron para hacerse cargo de los servidores de Exchange para realizar campañas de spam.
La investigación de los ataques, que se desarrolló en varias organizaciones no reveladas, reveló cómo un actor de amenazas lanzó una serie de ataques de relleno de credenciales contra cuentas de administrador sin la autenticación multifactor (MFA) habilitada, y luego usó estas cuentas comprometidas para obtener acceso a la víctima. inquilino en la nube.
A partir de aquí, pudieron crear una aplicación OAuth maliciosa que agregó un conector entrante malicioso a los servidores de correo electrónico de las organizaciones. Luego, esto se usó para ejecutar campañas de correo electrónico no deseado que anunciaban un sorteo fraudulento que falsificaba las identidades de las organizaciones, con un iPhone de Apple como premio, que engañó a sus víctimas para que se suscribieran a suscripciones pagas recurrentes.
“Microsoft ha estado monitoreando la creciente popularidad del abuso de la aplicación OAuth”, escribieron los investigadores en su aviso de divulgación. “En los últimos años, Microsoft ha observado que cada vez más actores de amenazas, incluidos actores de estados nacionales, han estado utilizando aplicaciones OAuth para diferentes propósitos maliciosos: comunicación de comando y control (C2), puertas traseras, phishing, redirecciones, etc. en.”
El ataque descrito anteriormente es particularmente significativo porque, si bien condujo a una campaña de correo electrónico no deseado dirigida a los consumidores, apuntó y aprovechó los inquilinos empresariales para usarlos como su infraestructura, por lo tanto, expuso las debilidades en la postura de seguridad de la organización que podría haber llevado a ataques más impactantes. como ransomware.
En este caso, las organizaciones víctimas solo tenían la culpa hasta cierto punto, ya que todas tenían una postura de administración de acceso e identidad (IAM) altamente insegura, incluidas las cuentas de administrador sin MFA habilitado. Dar solo un paso simple para hacer cumplir MFA podría no haber detenido un ataque de relleno de credenciales, pero habría aumentado significativamente el costo del ataque para el actor de amenazas.
Otras acciones que las víctimas podrían haber tomado incluyen habilitar políticas de acceso condicional, que se evalúan y aplican cada vez que un usuario intenta iniciar sesión, y habilitar la evaluación de acceso continuo (CAE), que revoca el acceso inmediatamente si un cambio en las condiciones del usuario alcanza ciertos factores desencadenantes.
Microsoft agregó que los valores predeterminados de seguridad en Azure Active Directory deberían ser suficientes para proteger la plataforma de identidad elegida por la organización, ya que ofrecen configuraciones preconfiguradas, incluida la MFA obligatoria.
Jake Moore, asesor global de seguridad cibernética de ESET, dijo: “Los ataques de Credential Stuffing son comunes con atacantes de bajo nivel que intentan lo que pueden con lo que tienen en oferta.
“Se basa en que los atacantes obtengan el nombre de usuario y la contraseña de alguien que se filtró de un sitio web e intenten la misma combinación en otros sitios web”, dijo. “Si estas combinaciones se reutilizan y no se habilita MFA, puede ser un acceso muy simple.
“Esta es la razón por la cual las personas siempre deben usar contraseñas únicas complejas con la ayuda de almacenarlas en administradores de contraseñas junto con MFA en todas las cuentas”.
