El abuso de las aplicaciones OAuth está aumentando para filtrar datos y mantener una presencia ilegítima en los recursos de la nube después de que una cuenta se ha visto comprometida. El año pasado, los ciberdelincuentes atacaron al 95% de las empresas con sus intentos de comprometer cuentas en la nube, y más del 50% de ellos experimentó al menos un ataque exitoso. De las empresas comprometidas, más del 30% experimentó actividad posterior al inicio de sesión, incluida la manipulación de archivos, el reenvío de correo electrónico y la actividad de OAuth; El 10% de las empresas han autorizado aplicaciones OAuth maliciosas, que pueden permitir a los atacantes acceder y administrar la información y los datos de los usuarios, incluso iniciando sesión en otras aplicaciones en la nube con estas cuentas.
Los datos aparecieron en una encuesta de Proofpoint, que analizó a más de 20 millones de usuarios de cuentas en la nube y miles de servicios en la nube entre enero y diciembre de 2020, en Norteamérica, Centroamérica y Europa. OAuth es un protocolo de autorización que permite que una aplicación de terceros obtenga acceso limitado a un servicio en la nube. Permite que la información o los datos de la cuenta de un usuario sean utilizados por aplicaciones de terceros sin exponer la contraseña del usuario.
El informe dice que las técnicas para obtener tokens OAuth son numerosas: “En términos generales, se pueden agrupar en dos categorías macro. El primero es el acceso directo a una aplicación existente en uso por la víctima, desde la computadora del atacante. Se supone que el ciberdelincuente obtuvo las credenciales mediante ataques de fuerza bruta o relleno de credenciales. Es el método más crudo y arriesgado, porque puede ser interceptado por ciberdefensas ”.
El segundo método utiliza una aplicación maliciosa que obtiene amplios permisos, incluido uno que permite el uso de API externas. Dado que los usuarios están acostumbrados a otorgar permisos a las aplicaciones para usarlas, generalmente no les importa lo que están aceptando. Incluso para las empresas, el consentimiento para las autorizaciones de una aplicación no es un evento raro y pasa desapercibido, dice el documento Proofpoint.
“Dependiendo de los permisos obtenidos”, continúa, “les dan a los ciberdelincuentes acceso al correo electrónico (permitiéndoles leer, enviar correspondencia en nombre de los usuarios y configurar reglas de reenvío de correo electrónico). Acceso a archivos, que le permite filtrar datos o introducir malware que a menudo se revela a los contactos. Acceso a otros recursos, que permitan movimientos laterales dentro de la empresa ”.
Solo en 2020, Proofpoint descubrió más de 180 aplicaciones maliciosas, la mayoría de las cuales atacaban varios servicios. El más popular atacó a más de 200 servicios diferentes con una sola instancia de la aplicación.
Con agencias de noticias internacionales
Fuente: https://www.cisoadvisor.com.br/abuso-de-oauth-em-alta-credenciais-corporativas-em-risco/?rand=59135
