Microsoft inhabilita cuentas verificadas de partners utilizadas para phishing OAuth

Microsoft ha inhabilitado múltiples cuentas verificadas de la Red de Partners de Microsoft por crear aplicaciones OAuth maliciosas que vulneraban los entornos cloud de las organizaciones

Microsoft ha inhabilitado múltiples cuentas fraudulentas y verificadas de Microsoft Partner Network por crear aplicaciones OAuth maliciosas que vulneraban los entornos en la nube de las organizaciones para robar correo electrónico.

En un anuncio conjunto entre Microsoft y Proofpoint, Microsoft afirma que los actores de la amenaza se hicieron pasar por empresas legítimas para inscribirse y ser verificados con éxito como esa empresa en el MCPP (Microsoft Cloud Partner Program)

Los actores de la amenaza utilizaron estas cuentas para registrar aplicaciones OAuth verificadas en Azure AD para ataques de phishing de consentimiento dirigidos a usuarios corporativos en el Reino Unido e Irlanda.

Microsoft afirma que las apps OAuth maliciosas se utilizaron para robar los correos electrónicos de los clientes. Sin embargo, Proofpoint advirtió que los permisos de la app podrían haberles permitido acceder a calendarios e información de reuniones y modificar los permisos de los usuarios.

Típicamente, esta información se utiliza para ciberespionaje, ataques BEC (business email compromise) o para obtener mayor acceso a redes internas.

Proofpoint reveló la campaña maliciosa el 15 de diciembre de 2022, y Microsoft no tardó en desactivar todas las cuentas fraudulentas y las apps OAuth.

«Microsoft ha desactivado todas las cuentas fraudulentas y las apps OAuth»

«Microsoft ha desactivado las aplicaciones y cuentas propiedad del actor de la amenaza para proteger a los clientes y ha involucrado a nuestra Unidad de Crímenes Digitales para identificar nuevas acciones que puedan tomarse con este actor de la amenaza en particular»

«Hemos implementado varias medidas para proteger a los clientes de la amenaza

«Hemos implementado varias medidas de seguridad adicionales para mejorar el proceso de investigación de MCPP y disminuir el riesgo de comportamientos fraudulentos similares en el futuro»

Microsoft se ha puesto en contacto con todas las organizaciones afectadas y les ha advertido de que deben llevar a cabo una investigación interna exhaustiva para verificar que las aplicaciones sospechosas han sido deshabilitadas de su entorno.

Suplantación de empresas legítimas

Las aplicaciones OAuth permiten a las aplicaciones de terceros obtener permiso para acceder a los datos de la cuenta en la nube de un usuario para realizar una acción específica, como generar eventos de calendario o escanear correos electrónicos en busca de malware.

En lugar de iniciar sesión en una aplicación OAuth con las credenciales de un usuario, se registran en Azure AD y se les pueden conceder los permisos solicitados en la cuenta de un usuario. Estos permisos se pueden revocar fácilmente sin cambiar las credenciales de un usuario si es necesario.

En los últimos años, los actores de amenazas maliciosas han utilizado aplicaciones OAuth en ataques de «phishing de consentimiento» para acceder a los datos en la nube de Office 365 y Microsoft 365 de organizaciones objetivo.

Para proteger aún más a los clientes, Microsoft permite que los desarrolladores se conviertan en editores verificados, lo que significa que Microsoft ha verificado su identidad.

Las apps de OAuth que crea un socio verificado tienen una marca azul en el indicador de consentimiento de Azure Active Directory (Azure AD), lo que indica que esta aplicación es más fiable.

Según un informe de Proofpoint publicado hoy, los investigadores explicaron que los actores de la amenaza pasaron de intentar comprometer las cuentas de editores verificadas por Microsoft existentes y, en su lugar, se hicieron pasar por editores creíbles para convertirse ellos mismos en verificados.

Los actores de la amenaza se hicieron pasar por editores creíbles para convertirse ellos mismos en verificados

Los actores de la amenaza se hicieron pasar por otras empresas utilizando un nombre de usuario similar al de un editor verificado existente, pero ocultaron el nombre de «editor verificado», que era diferente, ya que cambiarlo requeriría una nueva verificación con Microsoft.

Los actores de la amenaza también se vincularon a cuentas de editores verificados de Microsoft

También enlazaban a las páginas web de «términos de servicio» y «declaración de política» de la empresa legítima para añadir más legitimidad a sus aplicaciones e identidad.

Proofpoint identificó tres aplicaciones OAuth maliciosas de tres editores verificados, todas ellas dirigidas a las mismas organizaciones y comunicándose con la misma infraestructura controlada por el atacante.

«Según nuestro análisis, esta campaña parecía dirigirse principalmente a organizaciones y usuarios con sede en el Reino Unido. Entre los usuarios afectados se encontraba personal financiero y de marketing, así como usuarios de alto perfil como gerentes y ejecutivos», afirma Proofpoint.

Dos de las apps se llamaban «Single Sign On (SSO)», y la tercera «Meeting», y solicitaban acceso a los siguientes permisos:

• Lee tu correo
• Mantener acceso a los datos a los que le has dado acceso
• Leer la configuración de tu buzón de correo
• Iniciar sesión y leer tu perfil
• Enviar correo como tú
• Leer tus calendarios
• Leer tus reuniones en línea

Desgraciadamente, Proofpoint vio evidencias de múltiples usuarios impactados por los ataques, lo que resultó en el compromiso de sus organizaciones.

La campaña se extendió a lo largo de todo el año

La campaña se extendió entre el 6 de diciembre de 2022 y el 27 de diciembre de 2022, cuando Microsoft desactivó todas las aplicaciones maliciosas. La investigación sobre el ataque continúa.

Microsoft ha publicado una guía detallada sobre cómo los usuarios pueden protegerse contra estos ataques y las prácticas recomendadas para prevenirlos en primer lugar.