OAuth è diventato uno standard fondamentale per la delega dell'accesso nelle app. Tuttavia, i crescenti incidenti che coinvolgono app OAuth dannose, in particolare in piattaforme come Office 365, sottolineano una vulnerabilità significativa. Questa vulnerabilità persiste anche in presenza di misure di autenticazione a più fattori (MFA).
I limiti dell'MFA nella sicurezza informatica di OAuth
L 'autenticazione a più fattori (MFA) è un passo fondamentale per la sicurezza degli account online, ma non è infallibile. Gli aggressori informatici sviluppano continuamente metodi per aggirare queste misure di sicurezza e uno di questi metodi prevede l'uso di app Azure/O365 OAuth dannose. I recenti attacchi sofisticati a enti governativi e aziendali, come riportato dal Primo Ministro australiano, evidenziano questo panorama di minacce in continua evoluzione.
Caso di studio: App OAuth dannosa per Office 365
L'autenticazione a più fattori (MFA) è un ottimo passo da compiere, ma ci sono sempre modi per aggirare i controlli preventivi. Una delle note tecniche di aggiramento dell'MFA è l'installazione di app Azure/O365 OAuth dannose. Nel caso in cui ci fossero dubbi, i recenti attacchi al governo e alle aziende denunciati dal primo ministro australiano costituiscono un potente promemoria. Gli attori statali responsabili degli attacchi hanno sfruttato OAuth, una tecnica standard utilizzata per la delega dell'accesso nelle app per ottenere l'accesso non autorizzato agli account cloud come Microsoft Office 365.
Secondo quanto riportato, gli aggressori hanno creato un'applicazione Office 365 dannosa da inviare agli utenti target come parte di un link di spear phishing . L'applicazione viene fatta apparire come legittima; in questo caso, il nome dell'applicazione era simile a quello di una nota soluzione di filtraggio delle e-mail utilizzata ampiamente dal governo australiano. Una volta ricevuta, l'app dannosa convince la vittima a concedere l'autorizzazione ad accedere ai dati presenti nell'account dell'utente. In particolare, cose come l'accesso offline, le informazioni sul profilo dell'utente e la possibilità di leggere, spostare ed eliminare le e-mail.
Una volta riuscito nell'intento, l'aggressore avrebbe avuto accesso diretto a un account interno di Office 365. Una piattaforma perfetta per effettuare phishing su altri obiettivi interni o per eseguire azioni dannose all'interno di Office 365 relative a SharePoint, OneDrive, Exchange e Teams.
La furtività delle applicazioni OAuth dannose
Questi tipi di attacchi sono particolarmente insidiosi perché non comportano l'esecuzione di codice dannoso sull'endpoint, eludendo così il rilevamento da parte dei software di sicurezza endpoint convenzionali. Inoltre, un'applicazione OAuth di Office 365 costruita in modo legittimo può fornire agli aggressori un accesso persistente agli account utente, non influenzato da modifiche della password o dai protocolli MFA.
Prospettive future e misure preventive
Si prevede che la prevalenza di attacchi dannosi alle app OAuth sia in aumento, soprattutto perché Office 365 consente agli utenti finali di installare app senza l'approvazione amministrativa. Una solida strategia di cybersecurity deve includere soluzioni basate sul rilevamento in grado di identificare e rispondere ad attività sospette come tentativi di accesso insoliti, installazioni di app non autorizzate e abuso delle funzionalità native di Office 365.
Vectra CDR per Office 365 - Una soluzione
Per combattere queste minacce sofisticate, Vectra Cloud Detection and Response for Office 365 offre una soluzione specializzata. Si concentra sull'analisi e sulla correlazione degli eventi che indicano potenziali violazioni della sicurezza, consentendo ai team di sicurezza di rispondere in modo proattivo. Per informazioni più dettagliate, consultate la nostra scheda tecnica o provatela in prima persona con una prova.