AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Empresas

**Cibercriminales aprovechan el flujo OAuth Device Code para secuestrar cuentas Microsoft 365**

admin

### Introducción

En las últimas semanas, se ha detectado una oleada de campañas de phishing dirigidas a entornos empresariales de Microsoft 365, en las que actores de amenazas explotan el mecanismo de autorización OAuth Device Code para comprometer cuentas corporativas. Este vector de ataque, todavía poco habitual en campañas masivas, está siendo empleado por múltiples grupos maliciosos para eludir los controles tradicionales de autenticación multifactor y obtener acceso persistente a recursos críticos de las organizaciones.

### Contexto del Incidente

El ecosistema Microsoft 365 continúa siendo uno de los principales objetivos para los atacantes, dada su ubicuidad en entornos empresariales y la cantidad de información sensible que gestionan sus servicios. Según las últimas investigaciones publicadas, diversos actores de amenazas han comenzado a utilizar el flujo OAuth Device Code —originalmente diseñado para facilitar el acceso a dispositivos limitados en capacidades de entrada— como vector primario en campañas de phishing dirigidas.

Este mecanismo, si bien es legítimo y ampliamente utilizado por aplicaciones IoT y dispositivos sin navegador, está siendo manipulado para engañar a los usuarios y conseguir que autoricen aplicaciones maliciosas a acceder a sus cuentas Microsoft 365. La técnica permite a los atacantes sortear barreras como la autenticación multifactor (MFA), incrementando significativamente el riesgo para las organizaciones.

### Detalles Técnicos

El ataque se basa en la explotación del flujo OAuth Device Authorization Grant (RFC 8628), habilitado en Azure Active Directory para facilitar la autenticación en dispositivos con capacidades limitadas de entrada. El proceso legítimo consiste en que el usuario, al intentar autorizar una aplicación en un dispositivo, recibe un código único (device code) y una URL donde introducirlo, autenticándose posteriormente en el navegador.

Los actores de amenazas, identificados por analistas de seguridad como TA545 y Storm-1295 entre otros, han adaptado este flujo en campañas de phishing altamente personalizadas. El procedimiento suele ser el siguiente:

1. **Envío de correos de phishing**: Las víctimas reciben mensajes con pretextos creíbles (notificaciones de acceso, solicitudes de firma, etc.) que les instan a visitar una URL legítima de Microsoft (ej. https://microsoft.com/devicelogin) y proporcionar un código de dispositivo suministrado en el correo.
2. **Autorización OAuth**: Al introducir el código, la víctima está concediendo permisos a una aplicación controlada por los atacantes, que aprovecha el scope de OAuth para obtener acceso a recursos como correo electrónico, OneDrive o SharePoint.
3. **Evasión de MFA**: Dado que el flujo está diseñado para dispositivos sin interfaz completa, la autenticación multifactor suele no ser requerida, permitiendo a los atacantes eludir este control de seguridad.
4. **Persistencia y movimiento lateral**: Una vez obtenidos los tokens OAuth, los atacantes pueden mantener acceso persistente a la cuenta, incluso tras el cambio de contraseña, y realizar acciones como exfiltración de datos, envío de phishing interno o escalada de privilegios.

Según los datos disponibles, las campañas detectadas han utilizado aplicaciones OAuth personalizadas que no estaban presentes en la lista de aplicaciones aprobadas por la organización (shadow IT). Se han observado IoC asociados a dominios de control y aplicaciones con nombres como “OfficeIntegration” o “CorpDocs”. Frameworks de post-explotación como Cobalt Strike han sido empleados para movimientos posteriores.

Los TTPs observados están alineados con MITRE ATT&CK T1550.003 (Use Alternate Authentication Material: OAuth Tokens) y T1566.002 (Phishing: Spearphishing Link).

Las versiones afectadas incluyen cualquier tenant de Microsoft 365 que tenga habilitada la autorización por device code sin políticas restrictivas de aplicaciones OAuth.

### Impacto y Riesgos

El impacto potencial de este vector de ataque es elevado:

– **Secuestro completo de cuentas corporativas**: Acceso a correo electrónico, archivos, calendarios y otros recursos críticos.
– **Evasión de controles de seguridad**: Elusión de MFA y dificultad para revocar el acceso mediante cambio de contraseña.
– **Persistencia y escalada**: Uso de permisos OAuth para mantener el acceso y moverse lateralmente entre cuentas y servicios.
– **Phishing interno y suplantación**: Utilización de cuentas comprometidas para campañas internas o ataques BEC (Business Email Compromise).
– **Riesgo regulatorio**: Potencial incumplimiento de GDPR y NIS2 en caso de exfiltración de datos personales o confidenciales.

Se estima que, en los casos detectados, cerca del 15% de los tenants con device code habilitado sin restricciones han sido objeto de intentos de explotación. Las organizaciones afectadas han reportado pérdidas económicas asociadas a fraude y recuperación por valor de entre 50.000 y 250.000 euros.

### Medidas de Mitigación y Recomendaciones

Para reducir la superficie de ataque, se recomienda:

– **Restringir el uso del flujo device code**: Deshabilitarlo salvo en casos estrictamente necesarios mediante Azure AD Conditional Access.
– **Revisión de aplicaciones OAuth autorizadas**: Auditar y limitar las aplicaciones que pueden ser autorizadas por los usuarios.
– **Implementación de alertas e IoC**: Configurar alertas para la autorización de nuevas aplicaciones y monitorizar los IoC reportados.
– **Educación y concienciación**: Formar a los usuarios sobre este vector de phishing y las señales de alerta.
– **Revisión de logs y respuesta ante incidentes**: Analizar logs de autenticación y tokens OAuth para detectar accesos anómalos.
– **Adopción de políticas de Zero Trust**: Restringir el acceso a recursos sensibles por defecto.

### Opinión de Expertos

Mikko Hyppönen, CTO de WithSecure, advierte: «El abuso del flujo OAuth Device Code es un ejemplo de cómo los atacantes adaptan técnicas legítimas para eludir la seguridad. La gestión de permisos y aplicaciones OAuth debe ser una prioridad para los equipos de seguridad».

Por su parte, el analista de amenazas Kevin Beaumont destaca que “la falta de visibilidad sobre las aplicaciones autorizadas y el exceso de confianza en la MFA son los principales factores de riesgo”.

### Implicaciones para Empresas y Usuarios

Las organizaciones deben comprender que la seguridad en Microsoft 365 no se limita a la configuración inicial o la habilitación de MFA. El ecosistema OAuth añade una capa de complejidad que requiere supervisión continua, políticas restrictivas y concienciación de los usuarios frente a nuevos vectores de ingeniería social.

A nivel de cumplimiento, una brecha explotando este vector puede suponer sanciones importantes bajo el RGPD y la futura directiva NIS2, especialmente si se produce pérdida de datos personales o información confidencial.

### Conclusiones

La explotación del flujo OAuth Device Code por parte de atacantes representa una evolución significativa en las técnicas de phishing dirigidas a entornos Microsoft 365. Las organizaciones deben revisar urgentemente sus políticas de autorización de aplicaciones y reforzar la monitorización de eventos relacionados con OAuth, priorizando la adopción de un enfoque Zero Trust y el endurecimiento de los flujos de autenticación alternativos.

(Fuente: www.bleepingcomputer.com)