Los usuarios de la plataforma Office 365 estarían recibiendo de manera masiva correos electrónicos de phishing que tienen como objetivo engañarlos. Los actores de amenazas buscan con estos emails que le de permisos de OAuth a una aplicación falsa que, posteriormente, les permite poder leer y escribir emails.
Así lo ha advertido el equipo de inteligencia de seguridad de Microsoft, Microsoft Security Intelligence.
La firma de Redmond ha revelado que esta app potencialmente maliciosa, denominada 'Upgrade' pide a los usuarios que otorguen permisos OAuth, abriendo la puerta a los hackers para que puedan también crear reglas de la bandeja de entrada, acceder a elementos de calendario y contactos, etc.
El estándar OAuth es compatible con la nube y los proveedores de identidad -incluyendo a Google, Twitter, Facebook y Microsoft- como una forma para que los usuarios otorguen a las aplicaciones de terceros acceso a la información de la cuenta y los datos dentro de las apps de dichas empresas.
En principio, la persona que alertó inicialmente sobre esta amenaza fue el usuario de Twitter @ffforward, quien comunicó su hallazgo a Microsoft.
"Los mensajes de phishing engañan a los usuarios para que otorguen permisos a la aplicación que podrían permitir a los atacantes crear reglas en la bandeja de entrada, leer y escribir correos electrónicos y elementos del calendario, y leer contactos. Microsoft ya ha desactivado la aplicación en Azure AD y avisado a los clientes afectados", explica la compañía de Redmond.
Qué es el phishing de consentimiento
El phishing de consentimiento o de 'permisos de consentimiento ilícitos' varía respecto al phishing tradicional. En lugar de conseguir contraseñas mediante páginas fraudulentas de inicio de sesión, los atacantes aquí usan pantallas de solicitud de permiso de OAuth para lograr que las víctimas otorguen tokens de acceso con las que los ciberdelincuentes pueden obtener datos de cuentas de aplicaciones conectadas.
Recientemente Microsoft había compartido que los correos electrónicos maliciosos de este tipo que abusan de las solicitudes de OAuth han crecido considerablemente en los últimos años.
"En la mayoría de los casos, los ataques de phishing de consentimiento no implican el robo de contraseñas, ya que los tokens de acceso no requieren el conocimiento de la contraseña del usuario, pero los atacantes aún pueden robar datos confidenciales y otra información sensible. Entonces los atacantes pueden mantener la persistencia en la organización objetivo y realizar un reconocimiento para comprometer aún más la red", ha aclarado la empresa de Satya Nadella.