Actores de amenazas rusos explotan OAuth 2.0 para comprometer cuentas de Microsoft 365
Un grupo de actores de amenaza vinculados a Rusia ha estado aprovechando los flujos de trabajo legítimos del protocolo OAuth 2.0 para secuestrar cuentas de Microsoft 365 pertenecientes a empleados de organizaciones relacionadas con Ucrania y derechos humanos. Esta técnica sofisticada evita las medidas tradicionales de seguridad al utilizar aplicaciones maliciosas registradas en Azure AD que solicitan permisos excesivos.
Mecanismo del ataque
Los atacantes siguen un proceso estructurado:
- Registran una aplicación maliciosa en Azure Active Directory (Azure AD) utilizando credenciales robadas o creadas mediante phishing.
- La aplicación solicita permisos elevados (como
Mail.ReadWrite,User.ReadWrite.All) bajo el pretexto de ser una herramienta legítima. - Cuando la víctima autoriza la aplicación, se concede un token OAuth 2.0 que permite acceso persistente a los datos sin necesidad de credenciales directas.
- Los atacantes utilizan este acceso para exfiltrar correos electrónicos, documentos y otros datos sensibles.
Implicaciones técnicas
Este método es particularmente peligroso debido a varias razones:
- Evasión de MFA: Al usar tokens OAuth válidos, los atacantes sortean la autenticación multifactor.
- Persistencia: Los tokens pueden tener larga vida útil, permitiendo acceso prolongado incluso si se cambian las contraseñas.
- Difícil detección: Las actividades aparecen como accesos legítimos desde aplicaciones autorizadas.
Recomendaciones de mitigación
Las organizaciones pueden implementar las siguientes medidas defensivas:
- Auditar regularmente las aplicaciones registradas en Azure AD y eliminar aquellas no esenciales.
- Implementar políticas de consentimiento para restringir qué usuarios pueden autorizar aplicaciones.
- Configurar alertas para detectar solicitudes de permisos inusuales o excesivos.
- Utilizar soluciones de Identity Threat Detection and Response (ITDR) para monitorear actividades sospechosas relacionadas con OAuth.
Este caso demuestra cómo los atacantes están evolucionando hacia técnicas que explutan componentes fundamentales de la infraestructura de identidad moderna. La comprensión de estos vectores es crucial para desarrollar defensas efectivas.
