- Los investigadores han observado que los atacantes utilizan aplicaciones OAuth como armas
- Los atacantes obtienen acceso que persiste incluso a través de cambios de contraseña y MFA
- Esto no es sólo una prueba de concepto: se ha observado en la naturaleza.
Investigadores de Punto de prueba han descubierto una táctica utilizada por actores de amenazas para convertir las aplicaciones OAuth en armas con el fin de obtener acceso persistente dentro de entornos comprometidos, donde los piratas informáticos pueden conservar el acceso incluso después de que se lleve a cabo MFA o un restablecimiento de contraseña.
Este ataque tiene el potencial de ser devastador, ya que un atacante con acceso a una cuenta en la nube podría abrir la puerta a una serie de otras intrusiones. Este acceso a la cuenta podría usarse para crear y autorizar aplicaciones internas con permisos personalizados, permitiendo el acceso a archivos, comunicaciones y eludiendo la seguridad.
Los ciberdelincuentes utilizan cada vez más adquisición de cuenta en la nube (ATO) tácticas en los últimos años, ya que les permite secuestrar cuentas, extraer información y utilizarla como punto de apoyo para otros ataques. Tanto la frecuencia como la gravedad han aumentado y las estrategias evolucionan rápidamente.
Acceso persistente
Los investigadores han desarrollado una prueba de concepto para describir cómo podría verse este ataque en la naturaleza, creando una herramienta que automatiza la creación de aplicaciones internas maliciosas dentro del entorno de nube violado.
También se descubrió un ejemplo del mundo real cuando los expertos detectaron un intento de inicio de sesión exitoso que, según la inteligencia sobre amenazas, probablemente esté asociado con ataques de ingeniería social de tipo «Adversario en el medio».
«Después de aproximadamente 4 días, se cambió la contraseña del usuario, tras lo cual observamos intentos fallidos de inicio de sesión desde una dirección IP residencial de Nigeria, lo que sugiere el posible origen del actor de la amenaza», explican los investigadores.
«Sin embargo, la aplicación permaneció activa. Este estudio de caso sirve como un ejemplo concreto de los patrones de ataque discutidos en nuestro blog, lo que demuestra que estas amenazas no son meramente teóricas, sino riesgos activos y explotados en el panorama de amenazas actual».
La única forma de revocar el acceso en estos casos antes de que caduquen las credenciales secretas (que siguen siendo válidas durante dos años) es eliminando los permisos manualmente, así que asegúrese de revisar y contabilizar los permisos de manera constante y monitorear las aplicaciones de manera continua.
El mejor antivirus para todos los bolsillos
