Campaña de phishing se aprovecha de OAuth 2.0 Device Code para comprometer a más de 340 organizaciones en Microsoft 365

Inicio / Campaña de phishing se aprovecha de OAuth 2.0 Device Code para comprometer a más de 340 organizaciones en Microsoft 365

Campaña de phishing se aprovecha de OAuth 2.0 Device Code para comprometer a más de 340 organizaciones en Microsoft 365

Un ataque de phishing ha impactado a más de 340 organizaciones de Microsoft 365, aprovechándose de una limitación de diseño del flujo Device Authorization Grant (RFC 8628), una extensión específica del protocolo de autorización OAuth 2.0 creada para dispositivos sin teclado. Según informes, los atacantes han utilizado este método para obtener acceso no autorizado a cuentas de Microsoft 365, lo que puede tener consecuencias graves para la seguridad de la información de las organizaciones afectadas.

El origen del problema

El ataque de phishing se aprovecha en una limitación de diseño de la extensión Device Code (también conocida como Device Authorization Grant RFC 8628) del protocolo de autorización OAuth 2.0 para obtener una clave de dispositivo que puede ser utilizado para acceder a una cuenta de Microsoft 365 sin la necesidad de su contraseña. Según The Hacker News, «el ataque utiliza un código de dispositivo que se envía a la víctima a través de un mensaje de phishing, que luego se utiliza para acceder a la cuenta de Microsoft 365».

Alcance de la exposición

El ataque ha afectado a más de 340 organizaciones de Microsoft 365 en cinco países, lo que sugiere que la limitación de diseño de OAuth 2.0 es ampliamente explotable. Según The Hacker News, «el ataque ha sido detectado en organizaciones de todo el mundo, lo que indica que la vulnerabilidad es un problema global». La exposición puede ser aún mayor, ya que muchos ataques de phishing no son detectados o reportados.

Características destacables de este ataque

El ataque de phishing de Device Authorization Grant (RFC 8628) es particularmente peligroso porque no requiere que la víctima proporcione su contraseña o cualquier otra información confidencial. El ataque puede ser realizado sin que la víctima se dé cuenta, lo que lo hace potencialmente difícil de detectar. Según The Hacker News, «el ataque es un ejemplo de cómo los atacantes pueden utilizar técnicas de ingeniería social para explotar vulnerabilidades en la seguridad de la información».

Explicación y proceso del ciberataque

El flujo legítimo de OAuth 2.0 Device Authorization Grant existe para autenticar dispositivos sin teclado (smart TVs, consolas, etc.). El atacante lo subvierte así:

  1. El atacante inicia el ciberataque: El atacante solicita a Microsoft un código de dispositivo. Microsoft responde con dos cosas: un user code (ej. ABCD-1234) y una URL de verificación (microsoft.com/devicelogin). Hasta aquí todo es legítimo.
  2. La víctima recibe el código por «ingeniería social»: El atacante envía ese código a la víctima por email, Teams, LinkedIn u otro canal, haciéndose pasar por soporte técnico, un colega, o un servicio corporativo. El mensaje suele decir algo como: «Ingresa este código para verificar tu acceso».
  3. La víctima se autentica en una página real de Microsoft: La víctima entra a microsoft.com/devicelogin ó login.microsoftonline.com/common/oauth2/deviceauth, que son sitios legítimos, e ingresa el código. Microsoft le pide que inicie sesión con su cuenta y apruebe los permisos. La víctima lo hace sin sospechar nada.
  4. El atacante recibe las claves de acceso: En ese momento, Microsoft entrega al atacante una clave de acceso y una clave de refresco válidas. El atacante nunca obtuvo contraseña real, y el mecanismo de MFA ya fue superado porque la propia víctima lo completó.
  5. El atacante obtiene acceso persistente: Con la clave de refresco, el atacante puede renovar su acceso durante semanas o meses, y con eso leer correos, exfiltrar archivos, moverse lateralmente, todo dentro de la sesión legítima de la víctima.

Medidas de prevención

  1. Educación y adquisición de conocimiento: informar a los empleados sobre los riesgos del phishing y cómo identificar mensajes de phishing sospechosos. La señal de alerta clave: si alguien te envía un código para ingresar en microsoft.com/devicelogin o login.microsoftonline.com/common/oauth2/deviceauth sin que tú hayas iniciado el proceso, es casi con certeza un intento de ciberataque.
  2. Monitorear el acceso a cuentas: monitorear el acceso a cuentas de Microsoft 365 y detectar cualquier actividad sospechosa.

¿Te pareció útil este artículo?

Si te pareció útil este artículo, ¡te invitamos a compartirlo con personas que podrían verse beneficiadas al leerlo!

Artículos destacados

Últimos artículos