Publicidade

Apps OAuth na nuvem são o novo foco dos cibercriminosos

Por| Editado por Claudio Yuge | 25 de Março de 2021 às 21h40

Link copiado!

twenty20photos/Envato
twenty20photos/Envato

O padrão aberto OAuth é uma mão na roda: ele permite que determinado serviço ou aplicação tenham acesso a determinadas informações que você utilize sem saber das suas credenciais. Quando você permite que um software gerencie seu calendário do Google em uma interface diferente fazendo login através da conta Google, por exemplo, você está usando o OAuth — o Gigante das Buscas lhe pede uma confirmação e depois compartilha sua identidade na forma de um token.

Embora ela já seja bastante prática para o usuário final, a tecnologia é ainda mais valiosa para as organizações. Muitas companhias usam aplicativos OAuth em seus ambientes na nuvem como Microsoft 365 e Google Workspace — muitas vezes para ter acesso a novas funcionalidades que não existem nativamente nessas plataformas. Porém, uma nova pesquisa da Proofpoint mostra que os apps OAuth estão virando o novo foco dos cibercriminosos, levando em consideração o nível de privilégio que eles alcançam.

“Por exemplo, eles podem acessar os arquivos dos usuários, ler seus calendários, enviar e-mails em seu nome e muito mais. Dadas as amplas permissões que eles podem ter para seus principais aplicativos em nuvem, os apps OAuth se tornaram uma superfície e um vetor de ataque. Os invasores usam vários métodos para abusar de aplicativos OAuth, incluindo comprometimento de certificados de aplicativo, que também foi usado na campanha SolarWinds/Solorigate”, explica a companhia.

Continua após a publicidade

No incidente, vale lembrar, atores maliciosos invadiram a infraestrutura de compilação de um software de gerenciamento da SolarWinds; dessa forma, passaram a embutir um trojan nesse programa legítimo, que foi baixado por mais de 18 mil clientes. Mas um comprometimento tão profundo não é a única forma que um criminoso pode abusar de um app OAuth — softwares que contenham bugs ou sejam mal-escritos por padrão podem ser utilizados em truques como phishing de token e personificação.

A Proofpoint destaca que, só em 200, identificou 180 aplicações maliciosas, sendo que uma das campanhas mais bem-sucedidas visava distribuir o malware MexOAuthTA2552. “Este ataque começa com emails de phishing enviados a usuários corporativos. A URL de phishing redireciona para o login corporativo e a página de consentimento do aplicativo. A página se faz passar por autoridades fiscais mexicanas, Facebook ou Amazon”, explica.

Segundo a companhia, as empresas precisam gerenciar corretamente os aplicativos OAuth utilizados em seus ambientes na nuvem, mantendo um nível adequado de governança de dados e não permitindo que apps obtenham acesso excessivo a informações sensíveis.

Continua após a publicidade

Fonte: Proofpoint