OAuth es un estándar abierto que permite añadir funciones empresariales y mejoras en la interfaz de usuario de plataformas cloud como Microsoft 365 y Google Workspace. Sin embargo, estas mismas capacidades lo están convirtiendo en un nuevo vector de ataque por parte de los ciberdelincuentes, quienes están creando apps OAuth 2.0 maliciosas o malware cloud para extraer información y acceder a datos sensibles. Proofpoint, empresa líder en ciberseguridad y cumplimiento normativo, ha detectado en 2020 más de 180 aplicaciones maliciosas diferentes en intentos de ataque a más de la mitad de clientes (55%) con una tasa de éxito del 22%.
Entre las formas de ataque más empleadas está el phishing con tokens de OAuth y el abuso de aplicaciones OAuth, puesto que facilitan a los atacantes lanzar amenazas de usuario a usuario, así como sustraer archivos o correos de plataformas cloud. Estas amenazas con aplicaciones maliciosas se dirigen principalmente a altos cargos de una organización, directores financieros, responsables de recursos humanos y otros empleados con acceso a datos sensibles. De tener éxito con el ataque, los ciberdelincuentes pueden llegar a leer, escribir o enviar emails, configurar el buzón, acceder a archivos, contactos o a chats como Microsoft Teams apenas dejando huella de su actividad.
Algunos de los ataques más sofisticados se sirven incluso de la plataforma Microsoft para generar invitaciones a las páginas de consentimiento de estas aplicaciones maliciosas. Ante esta situación, desde Microsoft se puso en marcha un mecanismo de verificación del editor para ayudar a administradores y usuarios finales a reconocer la autenticidad de los desarrolladores de estas aplicaciones. Un procedimiento complejo y poco gratificante para los ciberdelincuentes que, además de colocar un distintivo en las aplicaciones verificadas, impedía a los usuarios dar su consentimiento a aquellas aplicaciones de editores no verificados, o bien mostraba una advertencia en caso de que el editor no estuviese verificado y se pudiese dar ese consentimiento. No obstante, los resultados de esta política han sido algo limitados, dado que los atacantes pueden crear y distribuir ampliamente aplicaciones maliciosas a través de inquilinos ya comprometidos eludiendo el proceso de verificación, como así ha podido constatar el equipo de Proofpoint.
Por tanto, ¿ha conseguido Microsoft detener las aplicaciones OAuth maliciosas en su plataforma? No del todo. Aunque sí ha reducido enormemente la acción del malware cloud, su amenaza no ha sido mitigada por completo. Fieles a su idiosincrasia, los ciberdelincuentes han ido cambiado sus tácticas conforme lo han ido necesitando, desde comprometer cuentas de otros inquilinos a crear, alojar y propagar el malware cloud desde dentro de la plataforma. El compromiso de cuentas cloud se ha convertido en un problema a gran escala en el que el 95% de inquilinos cloud es objeto de ataque a través de una o más campañas maliciosas y más del 50% ha sido finalmente comprometidos.
Para protegerse de aplicaciones maliciosas creadas por los ciberdelincuentes en cloud, se recomienda lo siguiente:
- Usar la verificación de editor de Microsoft. Si bien las aplicaciones maliciosas pueden aparecer a través de inquilinos fiables, los de identidad dudosa alojan la gran mayoría del malware cloud.
- Decidir quién puede crear una aplicación. Microsoft permite impedir a los usuarios que no son administradores crear aplicaciones, lo cual reduciría el riesgo de que los atacantes comprometan cuentas de quienes no son administradores y desarrollen aplicaciones en el entorno del inquilino.
- Reducir la superficie de ataque. Esto pasa por no dar el consentimiento a ninguna aplicación a menos que se requiera, revisar permisos solicitados por la aplicación o el origen de la misma, revocar constantemente aquellas aplicaciones que no se utilizan y examinar las acciones que sucedan posteriormente a la autorización de una aplicación sea cual sea la fuente.
- Proteger a los usuarios y los datos con una seguridad centrada en las personas. A través de soluciones como Proofpoint Cloud App Security Broker (CASB), es posible detectar, evaluar y revocar los permisos de OAuth para aplicaciones y scripts de terceros que acceden a servicios cloud, ayudando a identificar las aplicaciones de riesgo y a reducir la superficie de ataque. Proofpoint CASB combina asimismo la detección de cuentas comprometidas, la prevención de pérdida de datos (DLP) y la gobernanza de aplicaciones cloud o de terceros con controles de acceso adaptados que ayudan a proteger entornos como Microsoft 365, Google Workspace, Box, Salesforce, Amazon Web Services (AWS), Azure y Slack.