Microsoft está advirtiendo que los clientes de Office 365 están recibiendo correos electrónicos de phishing que pretenden engañarlos para que den permisos OAuth a una aplicación falsa que luego permite a los atacantes leer y escribir correos electrónicos.
El equipo de Inteligencia de Seguridad de Microsoft advirtió esta semana que los atacantes están enviando los correos electrónicos de phishing OAuth a "cientos" de clientes de Office 365.
La aplicación potencialmente maliciosa, apodada 'Upgrade', pide a los usuarios que le concedan permisos OAuth que permitirían a los atacantes crear reglas de bandeja de entrada, leer y escribir correos electrónicos y elementos del calendario, y leer contactos, según Microsoft Security Intelligence.
Los objetivos verían una notificación pidiéndoles que concedan a la aplicación varios permisos, como leer y escribir sus archivos, leer calendarios, etc.
El estándar OAuth está respaldado por los proveedores de identidad y de la nube, como Google, Twitter, Facebook y Microsoft, como una forma de que los usuarios concedan a las aplicaciones de terceros acceso a la información de la cuenta y a los datos de las aplicaciones de estas empresas.
Los atacantes han abusado de OAuth en el pasado y esta tendencia obligó a Google a introducir requisitos de verificación más estrictos para los desarrolladores que lo utilizan para conectarse a las aplicaciones de Google.
"Los mensajes de phishing engañan a los usuarios para que concedan a la aplicación permisos que podrían permitir a los atacantes crear reglas de bandeja de entrada, leer y escribir correos electrónicos y elementos del calendario, y leer contactos. Microsoft ha desactivado la aplicación en Azure AD y ha notificado a los clientes afectados", dijo Microsoft en un tweet.
El usuario de Twitter y cazador de amenazas @ffforward informó a Microsoft de la campaña de phishing de OAuth. La aplicación Upgrade aparecía como procedente del editor verificado Counseling Services Yuma PC, según @ffforward. La misma aplicación de actualización se ofrecía anteriormente a los usuarios de Office 365, pero a través de una cuenta no verificada.
Microsoft dijo recientemente que los correos electrónicos de phishing de consentimiento o "concesiones de consentimiento ilícitas" que abusan de las solicitudes de OAuth han aumentado constantemente en los últimos años.
El phishing de consentimiento es una alternativa para los atacantes al phishing de credenciales. En lugar de capturar contraseñas con páginas de inicio de sesión de phishing, los atacantes utilizan pantallas de solicitud de permisos OAuth para atraer a las víctimas a fin de que concedan tokens de acceso que proporcionen al atacante datos de cuentas de aplicaciones conectadas. En este caso, el inicio de sesión lo gestiona un proveedor de identidad, como Microsoft o Google, en lugar del usuario final. A pesar de no tener una contraseña, el atacante puede hacer cosas como establecer una regla para reenviar los correos electrónicos de un objetivo a una cuenta de correo electrónico controlada por el atacante, sentando las bases para futuros ataques.
"En la mayoría de los casos, los ataques de phishing de consentimiento no implican el robo de la contraseña, ya que los tokens de acceso no requieren el conocimiento de la contraseña del usuario, pero los atacantes siguen siendo capaces de robar datos confidenciales y otra información sensible. Los atacantes pueden entonces mantener la persistencia en la organización objetivo y realizar un reconocimiento para comprometer aún más la red", señaló Microsoft.