El equipo de seguridad de Microsoft ha advertido que los ciberdelincuentes están explotando un sistema llamado OAuth, que los sitios world-wide-web utilizan para verificar su identidad.
Los delincuentes secuestran cuentas de usuarios para tener acceso especial al sistema.
Al obtener handle sobre estas cuentas, pueden manipular las aplicaciones OAuth para obtener amplio acceso y permisos, facilitando así diversas formas de ciberdelincuencia, incluida la criptominería ilícita.
Modo de operación
La explotación de aplicaciones OAuth presenta un desafío complejo. Los atacantes primero comprometen las cuentas de los usuarios mediante ataques de phishing o de distribución de contraseñas, especialmente dirigidos a cuentas que carecen de mecanismos de autenticación sólidos.
Luego, estas cuentas se utilizan para implementar máquinas virtuales para minería criptográfica, establecer persistencia después de BEC y lanzar actividades de spam utilizando los recursos de la organización.
Microsoft ha rastreado ampliamente estas actividades, mejorando la detección de aplicaciones OAuth maliciosas a través de herramientas como Microsoft Defender para aplicaciones en la nube y evitando que las cuentas comprometidas accedan a los recursos.
Mitigar riesgos
El análisis de Microsoft de estos ataques ha dado lugar a varias recomendaciones para que las organizaciones mitiguen dichas amenazas.
En primer lugar, proteger la infraestructura de identidad es basic. La mayoría de las cuentas comprometidas no tenían habilitada la autenticación multifactor (MFA). Esto los hizo vulnerables a ataques de adivinación de credenciales. La implementación de MFA puede reducir drásticamente el riesgo de tales ataques.
Además de MFA, Microsoft recomienda habilitar políticas de acceso condicional y evaluación de acceso continuo, que revocan el acceso en tiempo serious cuando se detectan riesgos.
Los valores predeterminados de seguridad en Azure Ad brindan protección esencial para las organizaciones, especialmente aquellas en el nivel gratuito de licencia de Azure Active Directory. Estos incluyen configuraciones de seguridad preconfiguradas como MFA y protección para actividades privilegiadas.
También se alienta a las organizaciones a auditar las aplicaciones y los permisos que se les han otorgado para garantizar que cumplan con los principios de privilegio mínimo.
