Hackers implantaram aplicativos OAuth em ambientes de nuvem e os usaram para controlar servidores Exchange e espalhar spam. OAuth ( ou autorização aberta) é um padrão aberto para autorização e é comumente usado para conceder acesso à APIs. Ele funciona em HTTPS e autoriza dispositivos, APIs, servidores e aplicativos a acessarem sistemas.
A notícia é resultado de uma investigação feita por pesquisadores de segurança da Microsoft. Eles revelaram que os operadores de ameaças lançaram ataques de preenchimento de credenciais (que usam listas de credenciais de usuários comprometidos) contra contas de administrador não seguras e de alto risco que não tinham autenticação multifator (MFA) para obter acesso inicial.
“O acesso não autorizado ao ambiente de nuvem permitiu que o operador criasse um aplicativo OAuth malicioso que adicionava um conector de entrada no servidor de e-mail”, escreveu a Microsoft em uma postagem no blog corporativo.
Segundo o post, o operador então usou o conector de entrada malicioso para enviar e-mails de spam que pareciam originados do domínio genuíno dos alvos. “Os e-mails de spam foram enviados como parte de um esquema de sorteios enganoso destinado a induzir os destinatários a se inscreverem em assinaturas pagas recorrentes”.
A Microsoft diz no comunicado que a popularidade do uso de aplicativos OAuth aumentou recentemente, principalmente as tentativas que dependem de phishing de consentimento — levando os usuários a conceder permissões a aplicativos OAuth maliciosos.
“Nos últimos anos, a Microsoft observou que cada vez mais operadores de ameaças, incluindo grupos ligados a Estados-nação, têm usado aplicativos OAuth para diferentes propósitos maliciosos: comunicação de comando e controle (C&C), backdoors, phishing e redirecionamentos”, continua o comunicado.
Veja isso
Invasão de contas num clique com tokens OAuth
Abuso de OAuth em alta, credenciais corporativas em risco
Quanto ao ataque mais recente testemunhado pela Microsoft, ele envolveu o uso de uma rede de aplicativos de um único usuário instalada em organizações como plataforma de identidade do operador para realizar o ataque. “Assim que a rede foi revelada, todos os aplicativos relacionados foram removidos e notificações aos clientes foram enviadas, incluindo as etapas de correção recomendadas.”
De acordo com a Microsoft, o ataque expôs fraquezas de segurança que podem ser usadas por outros agentes de ameaças em ataques que afetam diretamente as empresas afetadas. Para reduzir a superfície de ataque e mitigar o impacto de ataques como esse, a Microsoft recomenda implementar MFA e habilitar políticas de acesso condicional, avaliação de acesso contínuo (CAE) e padrões de segurança no Azure Active Directory (AD).
O aviso vem meses depois de o GitHub ter revelado que várias organizações foram comprometidas por um ladrão de dados que usou tokens OAuth roubados para acessar seus repositórios privados. Com sites e agências de notícias internacionais.