0
0
Cibercriminosos estão aproveitando os aplicativos OAuth para espionar e-mails, baixar arquivos corporativos e fazer movimentos laterais em redes
Está aumentando o abuso de aplicativos OAuth para exfiltrar dados e manter presença ilegítima em recursos de nuvem após comprometimento de uma conta. No ano passado, os cibercriminosos visaram 95% das empresas com suas tentativas de comprometer contas na nuvem, e mais de 50% delas experimentaram pelo menos um ataque bem-sucedido. Das empresas comprometidas, mais de 30% experimentaram atividade pós-logon, incluindo manipulação de arquivos, encaminhamento de e-mail e atividade OAuth; 10% das empresas autorizaram aplicativos OAuth maliciosos, que podem permitir a invasores acessar e gerenciar informações e dados de usuários, até mesmo entrando em outros aplicativos em nuvem, utilizando essas contas.
Os dados apareceram numa pesquisa da Proofpoint, que analisou mais de 20 milhões de usuários de contas em nuvem e milhares de serviços de nuvem entre janeiro e dezembro de 2020, na América do Norte, América Central e Europa. OAuth é um protocolo de autorização que permite a um aplicativo de terceiros obter acesso limitado a um serviço em nuvem. Ele permite que as informações ou dados da conta de um usuário sejam usados por aplicativos de terceiros sem expor a senha do usuário.
O relatório diz que as técnicas para obter tokens OAuth são inúmeras: “Em termos gerais, eles podem ser agrupados em duas categorias macro. A primeira é o acesso direto a um aplicativo existente em uso pela vítima, a partir do computador do invasor. Pressupõe-se que o cibercriminoso obteve as credenciais por meio de ataques de força bruta ou preenchimento de credenciais (credential stuffing). É o método mais grosseiro e arriscado, porque pode ser interceptado por defesas cibernéticas”.
O segundo método usa um aplicativo malicioso que obtém amplas permissões, incluindo uma que permite o uso de APIs externas. Como os usuários estão acostumados a conceder permissões a aplicativos para usá-los, geralmente não se importam com o que estão aceitando. Mesmo para empresas, consentir com as autorizações de um aplicativo não é um evento raro e passa despercebido, diz o documento da Proofpoint.
“Dependendo das permissões obtidas”, continua, “elas dão aos cibercriminosos acesso a emails (o que lhes permite ler, enviar correspondência em nome dos usuários e configurar regras de encaminhamento de emails). Acesso a arquivos, que permite exfiltrar dados ou introduzir malwareque são frequentemente divulgados aos contatos. Acesso a outros recursos, que permitem movimentos laterais dentro da empresa”.
Só em 2020, a Proofpoint descobriu mais de 180 aplicativos maliciosos, a maioria dos quais atacou vários serviços. O mais popular atacou mais de 200 serviços diferentes com uma única instância do aplicativo.
FONTE: CISO ADVISOR