Cuentas cloud comprometidas
OAuth se ha convertido en una superficie y un vector de ataque mayor debido a los amplios permisos que puede llegar a tener en aplicaciones centrales de organizaciones en la nube.
OAuth es un protocolo de autorización mediante el cual una aplicación de terceros puede añadir funciones empresariales y mejoras en la interfaz de usuario a servicios cloud como Microsoft 365 y Google Workspace. Actualmente se ofrecen millones de aplicaciones y complementos OAuth bastante útiles para tares de análisis, seguridad, CRM, gestión de documentos o gestión de proyectos. La mayoría de aplicaciones OAuth permite que la información o los datos de la cuenta de un usuario sean utilizados sin exponer la contraseña, iniciando sesión en otras aplicaciones en la nube en nombre de esos usuarios. Por ejemplo, pueden acceder a archivos de personas, leer sus calendarios o enviar correos electrónicos, entre otras opciones.
Según una investigación de Proofpoint, los ciberdelincuentes están abusando cada vez más de aplicaciones legítimas de OAuth para exfiltrar datos y mantener su perseverancia en recursos específicos de cloud después de comprometer la cuenta de un usuario. La empresa de ciberseguridad y cumplimiento normativo ha examinado más de 20 millones de cuentas cloud de usuarios y miles de inquilinos en la nube entre enero y diciembre de 2020 en Norteamérica y Europa. Estas son las principales conclusiones de su estudio sobre OAuth:
· En el último año, los atacantes se han dirigido al 95% de las organizaciones con la intención de comprometer cuentas en la cloud.
· El 52% de las empresas ha sufrido al menos una vulneración de este tipo en 2020.
· Entre las empresas afectadas, más del 30% ha registrado otras acciones después de que los ciberdelincuentes accedieran a las cuentas, como manipulación de archivos, reenvío de correos electrónicos y actividad OAuth.
· El 10% de las organizaciones ha autorizado aplicaciones OAuth maliciosas, permitiendo a los atacantes acceder y gestionar la información o los datos de los usuarios.
Cualquier aplicación OAuth que tenga amplios permisos de acceso es un riesgo potencial de seguridad para una organización. Así sucedió en el ataque a SolarWinds, conocido el pasado diciembre, que consiguió comprometer la información de decenas de miles de empresas en el mundo. El abuso de OAuth permitió a los ciberdelincuentes de esta campaña tener una visibilidad del correo que simplemente no habría sido posible de haberse usado solo el malware Sunburst.
El abuso de una aplicación, es decir, que un ciberdelincuente emplee una aplicación legítima, no es una vulnerabilidad de la aplicación. Proofpoint recomienda a las organizaciones que implementen una estrategia de ciberseguridad centrada en las personas en la que se controlen de forma activa las aplicaciones OAuth, minimizando los permisos concedidos y gestionando la lista de usuarios para reducir riesgos. Las aplicaciones con roles de administrador y permisos delegados por la aplicación suponen un riesgo mayor porque, si se abusa de ellas, dan un acceso muy amplio al atacante. Por eso, los propietarios de la aplicación necesitan entender el mecanismo de acceso a los recursos de la misma y hacer un seguimiento de posibles cambios o anomalías, como consentimientos extraños a una aplicación poco común, certificados o URLs de dominios desconocidos.