• Los ciberdelincuentes están explotando una vulnerabilidad en las aplicaciones OAuth para obtener acceso persistente a cuentas comprometidas.
  • Este acceso se mantiene incluso después de que el usuario restablezca su contraseña o cambie su autenticación multifactor (MFA).
  • Investigadores han observado estos ataques en la vida real, demostrando que no son solo una prueba de concepto.

Investigadores de Proofpoint han descubierto una táctica empleada por actores maliciosos que consiste en utilizar aplicaciones OAuth para obtener acceso persistente dentro de entornos comprometidos. Este tipo de ataque puede ser devastador, ya que un atacante con acceso a una cuenta en la nube podría abrir la puerta a una serie de intrusiones adicionales. Dicho acceso podría emplearse para crear y autorizar aplicaciones internas con permisos personalizados, permitiendo el acceso a archivos, comunicaciones y eludiendo medidas de seguridad.

Los ciberdelincuentes han recurrido cada vez más a tácticas de robo de cuentas en la nube (ATO) en los últimos años, ya que les permite secuestrar cuentas, exfiltrar información y utilizarlas como punto de apoyo para otros ataques. La frecuencia y la gravedad de estos incidentes han aumentado, con estrategias que evolucionan rápidamente. Los investigadores han desarrollado una prueba de concepto para describir cómo podría ser este ataque en la vida real, creando una herramienta que automatiza la creación de aplicaciones internas maliciosas dentro del entorno de nube violado. Un ejemplo del mundo real se detectó cuando los expertos identificaron un intento de inicio de sesión exitoso, que, según la inteligencia de amenazas, probablemente esté asociado con ataques de ingeniería social de tipo 'Adversary-in-the-middle'.

Tras aproximadamente 4 días, se cambió la contraseña del usuario, después de lo cual se observaron intentos fallidos de inicio de sesión desde una dirección IP residencial nigeriana, lo que sugiere el posible origen del actor de amenazas. Sin embargo, la aplicación permaneció activa. Este caso de estudio sirve como un ejemplo concreto de los patrones de ataque discutidos, demostrando que estas amenazas no son meramente teóricas, sino riesgos activos y explotados en el panorama actual. La única forma de revocar el acceso en estos casos, antes de la expiración de las credenciales secretas (que permanecen válidas durante dos años), es eliminando manualmente los permisos, por lo que es importante revisar y auditar continuamente los permisos de las aplicaciones.