Aplicaciones OAuth maliciosas amenazan la ciberseguridad en la nube
- Endpoint
Los atacantes emplean el phishing con tokens de OAuth y el abuso de aplicaciones OAuth, puesto que les facilitan lanzar amenazas de usuario a usuario, principalmente a altos cargos, así como sustraer archivos o correos de plataformas cloud como Microsoft 365 y Google Workspace.
|
Recomendados: Seis razones para proteger Salesforce con una solución de terceros Leer Nutanix Enterprise Cloud Index - Situación en España Leer |
OAuth es un estándar abierto que permite añadir funciones empresariales y mejoras en la interfaz de usuario de plataformas cloud como Microsoft 365 y Google Workspace. Sin embargo, estas mismas capacidades lo están convirtiendo en un nuevo vector de ataque por parte de los ciberdelincuentes, quienes están creando apps OAuth 2.0 maliciosas o malware cloud para extraer información y acceder a datos sensibles. Sólo en 2020 Proofpoint detectó más de 180 aplicaciones maliciosas diferentes en intentos de ataque a más de la mitad de los clientes (55%) con una tasa de éxito del 22%.
Entre las formas de ataque más empleadas está el phishing con tokens de OAuth y el abuso de aplicaciones OAuth, puesto que facilitan a los atacantes lanzar amenazas de usuario a usuario, así como sustraer archivos o correos de plataformas cloud. Estas amenazas con aplicaciones maliciosas se dirigen principalmente a altos cargos de una organización y otros empleados con acceso a datos sensibles. De tener éxito con el ataque, los ciberdelincuentes pueden llegar a leer, escribir o enviar emails, configurar el buzón, acceder a archivos, contactos o a chats como Microsoft Teams dejando apenas huella de su actividad.
Algunos de los ataques más sofisticados se sirven incluso de la plataforma Microsoft para generar invitaciones a las páginas de consentimiento de estas aplicaciones maliciosas. Los ciberdelincuentes han ido cambiando sus tácticas conforme lo han ido necesitando, desde comprometer cuentas de otros inquilinos a crear, alojar y propagar el malware cloud desde dentro de la plataforma. El compromiso de cuentas cloud se ha convertido en un problema a gran escala en el que el 95% de inquilinos cloud es objeto de ataque a través de una o más campañas maliciosas y más del 50% ha sido finalmente comprometidos.
Para protegerse de aplicaciones maliciosas creadas por los ciberdelincuentes en cloud, Proofpoint recomienda usar la verificación de editor de Microsoft, impedir a los usuarios que no son administradores crear aplicaciones, no dar el consentimiento a ninguna aplicación a menos que se requiera, revisar permisos solicitados por la aplicación o el origen de la misma, revocar constantemente aquellas aplicaciones que no se utilizan y examinar las acciones que sucedan posteriormente a la autorización de una aplicación sea cual sea la fuente.
