Los piratas informáticos abusaron de Microsoft "Editor verificado" Aplicaciones OAuth para violar cuentas de correo electrónico corporativas


01 de febrero de 2023Ravie LakshmanánSeguridad empresarial/autenticación

Microsoft dijo el martes que tomó medidas para deshabilitar cuentas falsas de Microsoft Partner Network (MPN) que se usaron para crear programas maliciosos. OAuth aplicaciones como parte de una campaña maliciosa diseñada para violar los entornos de nube de las organizaciones y robar correo electrónico.

“Las aplicaciones creadas por estos actores fraudulentos se usaron luego en una campaña de phishing de consentimiento, que engañó a los usuarios para que otorgaran permisos a las aplicaciones fraudulentas”, dijo el gigante tecnológico. dicho. “Esta campaña de phishing se dirigió a un subconjunto de clientes que se encuentran principalmente en el Reino Unido e Irlanda”.

El phishing de consentimiento es un ataque de ingenieria social en el que se engaña a los usuarios para que otorguen permisos a aplicaciones en la nube maliciosas, que luego pueden armarse para obtener acceso a servicios en la nube legítimos y datos confidenciales del usuario.

El fabricante de Windows dijo que se enteró de la campaña el 15 de diciembre de 2022. Desde entonces, alertó a los clientes afectados por correo electrónico, y la compañía señaló que los actores de amenazas abusaron del consentimiento para filtrar los buzones de correo.

Además de eso, Microsoft dijo que implementó medidas de seguridad adicionales para mejorar el proceso de investigación asociado con el Programa de socios de la nube de Microsoft (anteriormente MPN) y minimizar el potencial de fraude en el futuro.

La divulgación coincide con un informe publicado por Proofpoint sobre cómo los actores de amenazas han explotado con éxito el “editor verificado” estado para infiltrarse en los entornos de nube de las organizaciones.

Lo notable de la campaña es que al imitar marcas populares, también logró engañar a Microsoft para obtener la insignia azul verificada. “El actor usó cuentas de socios fraudulentas para agregar un editor verificado a los registros de la aplicación OAuth que crearon en Azure AD”, explicó la compañía.

Estos ataques, que se observaron por primera vez el 6 de diciembre de 2022, emplearon versiones similares de aplicaciones legítimas como Zoom para engañar a los objetivos para que autorizaran el acceso y facilitaran el robo de datos. Los objetivos incluían finanzas, marketing, gerentes y altos ejecutivos.

Hackeo de aplicaciones Microsoft OAuth

Proofpoint señaló que las aplicaciones maliciosas de OAuth tenían “permisos delegados de gran alcance”, como leer correos electrónicos, ajustar la configuración del buzón y obtener acceso a archivos y otros datos conectados a la cuenta del usuario.

También dijo que a diferencia de un campaña anterior que comprometió a los editores verificados de Microsoft existentes para aprovechar los privilegios de la aplicación OAuth, los últimos ataques están diseñados para hacerse pasar por editores legítimos para verificar y distribuir las aplicaciones no autorizadas.

Dos de las aplicaciones en cuestión se llamaron “Single Sign-on (SSO)”, mientras que la tercera aplicación se llamó “Meeting” en un intento de hacerse pasar por un software de videoconferencia. Las tres aplicaciones, creadas por tres editores diferentes, se dirigieron a las mismas empresas y aprovecharon la misma infraestructura controlada por el atacante.

“El impacto potencial para las organizaciones incluye cuentas de usuario comprometidas, exfiltración de datos, abuso de marca de organizaciones suplantadas, fraude de compromiso de correo electrónico comercial (BEC) y abuso de buzón”, dijo la firma de seguridad empresarial.

Se dice que la campaña llegó a su fin el 27 de diciembre de 2022, después de que Proofpoint informara a Microsoft sobre el ataque el 20 de diciembre y las aplicaciones se deshabilitaran.

Los hallazgos demuestran la sofisticación que se ha invertido en montar el ataque, sin mencionar eludir las protecciones de seguridad de Microsoft y abusar de la confianza que los usuarios depositan en los vendedores y proveedores de servicios empresariales.

Esta no es la primera vez que se utilizan aplicaciones OAuth falsas para atacar los servicios en la nube de Microsoft. En enero de 2022, Proofpoint detalló otra actividad de amenaza denominada OiVaVoii que se dirigía a ejecutivos de alto nivel para tomar el control de sus cuentas.

Luego, en septiembre de 2022, Microsoft reveló que desmanteló un ataque que hizo uso de aplicaciones OAuth no autorizadas implementadas en inquilinos de la nube comprometidos para finalmente tomar el control de los servidores de Exchange y distribuir spam.

¿Encontraste este artículo interesante? Siga con nosotros Gorjeo y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57