- Los investigadores han observado que los atacantes están utilizando aplicaciones OAuth como armas.
- Los atacantes obtienen acceso que persiste incluso a través de cambios de contraseña y MFA
- Esto no es sólo una prueba de concepto: se ha observado en la naturaleza.
Los investigadores de Proofpoint descubrieron una técnica utilizada por actores de amenazas para convertir las aplicaciones OAuth en armas para obtener acceso continuo dentro de entornos no comprometidos, donde los piratas informáticos pueden mantener el acceso incluso después de restablecer MFA o contraseña.
Este ataque tiene el potencial de ser devastador, ya que un atacante con acceso a cuentas en la nube puede abrir la puerta a otras intrusiones. Este acceso a la cuenta se puede utilizar para crear y autorizar aplicaciones internas con permisos personalizados, lo que permite el acceso a archivos, comunicaciones y eludir la protección.
En los últimos años, los ciberdelincuentes han utilizado cada vez más técnicas de apropiación de cuentas en la nube (ATO), ya que les permiten secuestrar cuentas, exfiltrar información y utilizarla para otros ataques. Tanto la frecuencia como la intensidad han aumentado, las técnicas están evolucionando rápidamente.
Acceso continuo
Los investigadores han creado una prueba de concepto de cómo podría verse este ataque en la naturaleza, creando una herramienta que automatiza la creación de aplicaciones internas maliciosas dentro de entornos de nube violados.
También se descubrió un ejemplo del mundo real cuando los expertos identificaron un intento de inicio de sesión exitoso que, basándose en inteligencia sobre amenazas, podría vincularse a un ataque de ingeniería social de “adversario en el medio”.
“Aproximadamente 4 días después se cambió la contraseña del usuario, después de lo cual observamos intentos fallidos de inicio de sesión desde una dirección IP residencial de Nigeria, lo que sugiere un posible origen del actor de la amenaza”, explicaron los investigadores.
“Sin embargo, la aplicación permaneció activa. Este estudio de caso sirve como un ejemplo concreto de los patrones de ataque discutidos en nuestro blog, lo que demuestra que estas amenazas no son meramente teóricas, sino riesgos activos y explotables en el panorama de amenazas actual”.
La única forma de revocar el acceso en este caso antes de que caduque el certificado secreto (que es válido por dos años) es eliminar permisos manualmente, así que asegúrese de revisar constantemente los permisos de la cuenta y monitorear las aplicaciones con regularidad.
El mejor antivirus para todos los bolsillos
