Phishing Oauth permitiría comprometer cuentas de Office365 evadiendo el multifactor
AS-085-2022
Fecha: 27/Oct/2022
Resumen:
En 2021 Microsoft alertó sobre una nueva modalidad de phishing, conocida como OAuth phishing, que permitiría que un atacante pueda tomar control de datos sensibles, y accesos a servicios de nube como el correo de sus víctimas.
La campaña consiste en enviar mensajes engañosos a las víctimas y redirigirlas a aplicaciones maliciosas construidas con Office365 y controladas por los atacantes. Estas aplicaciones autenticarán al usuario e incluso evadirán el control de multifactor, permitiendo que el agente malicioso pueda tomar control de servicios de nube de la víctima como: Correo, Onedrive, Sharepoint, entre otras.
Para mitigar esta vulnerabilidad se recomienda modificar el apartado "Consentimiento y permisos | Configuración del consentimiento de los usuarios" de las aplicaciones empresariales, que se encuentran en el portal de Azure (https://portal.azure.com/)
Adicionalmente, se recomienda enfatizar en campañas de educación para prevenir el phishing.
Referencias:
https://www.bleepingcomputer.com/news/security/microsoft-warns-of-increasing-oauth-office-365-phishing-attacks/
https://www.microsoft.com/en-us/security/blog/2021/07/14/microsoft-delivers-comprehensive-solution-to-battle-rise-in-consent-phishing-emails/
https://www.elladodelmal.com/2021/01/o365-toolkit-el-kit-de-phishing-oauth.html