Quer apoiar meu projeto de divulgação de noticias?
Agora é possivel Veja a noticia completa em: https://www.bleepingcomputer.com/news/security/microsoft-disables-verified-partner-accounts-used-for-oauth-phishing/
Fonte: https://www.bleepingcomputer.com
Achou esse artigo interessante? Siga canalfsociety em
Instagram,
Facebook,
Telegram,
Twitter,
App Boletim Tec e
App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos. #samirnews #samir #news #boletimtec #microsoft #desativa #contas #de #parceiros #verificadas #usadas #para #phishing #oauth
A Microsoft desativou várias contas fraudulentas e verificadas da Microsoft Partner Network para criar aplicativos OAuth mal-intencionados que violavam os ambientes de nuvem das organizações para roubar emails.
Em um anúncio conjunto entre a Microsoft e a Proofpoint, a Microsoft diz que os agentes de ameaças se apresentaram como empresas legítimas para se inscrever e serem verificados com sucesso como essa empresa no MCPP (Microsoft Cloud Partner Program).
Os agentes de ameaças usaram essas contas para registrar aplicativos OAuth verificados no Azure AD para ataques de phishing de consentimento direcionados a usuários corporativos no Reino Unido e na Irlanda.
A Microsoft diz que os aplicativos OAuth maliciosos foram usados para roubar e-mails dos clientes. No entanto, a Proofpoint alertou que as permissões do aplicativo poderiam permitir que eles acessassem calendários e informações de reuniões e modificassem as permissões do usuário.
Normalmente, essas informações são usadas para ciberespionagem, ataques de BEC (compromisso de e-mail comercial) ou para obter mais acesso a redes internas.
A Proofpoint divulgou a campanha maliciosa em 15 de dezembro de 2022, com a Microsoft fechando todas as contas fraudulentas e aplicativos OAuth.
"A Microsoft desativou os aplicativos e contas pertencentes ao agente de ameaças para proteger os clientes e contratou nossa Unidade de Crimes Digitais para identificar outras ações que podem ser tomadas com esse agente de ameaças em particular", diz o anúncio.
“Implementamos várias medidas de segurança adicionais para melhorar o processo de verificação do MCPP e diminuir o risco de comportamento fraudulento semelhante no futuro”.
A Microsoft entrou em contato com todas as organizações afetadas e alertou que elas devem conduzir uma investigação interna completa para verificar se os aplicativos suspeitos foram desabilitados de seu ambiente.
A BleepingComputer entrou em contato com a Microsoft para saber mais sobre os ataques e como eles estão melhorando o processo de verificação do MCPP, mas uma resposta não estava disponível imediatamente.
Personificação de empresas legítimas
Os aplicativos OAuth permitem que aplicativos de terceiros obtenham permissão para acessar os dados na conta de nuvem de um usuário para executar uma ação específica, como gerar eventos de calendário ou verificar e-mails em busca de malware.
Em vez de fazer logon em um aplicativo OAuth com as credenciais de um usuário, eles são registrados no Azure AD e podem receber as permissões solicitadas na conta de um usuário. Essas permissões podem ser facilmente revogadas sem alterar as credenciais do usuário, se necessário.
Nos últimos anos, agentes de ameaças mal-intencionados usaram aplicativos OAuth em ataques de 'phishing de consentimento' para acessar dados de nuvem do Office 365 e do Microsoft 365 das organizações visadas.
Para proteger ainda mais os clientes, a Microsoft permite que os desenvolvedores se tornem editores verificados, o que significa que a Microsoft verificou sua identidade.
Os aplicativos OAuth criados por um parceiro verificado têm uma verificação azul no prompt de consentimento do Azure Active Directory (Azure AD), indicando que esse aplicativo é mais confiável.
Aplicativo Microsoft OAuth verificado (Proofpoint)
De acordo com um relatório da Proofpoint divulgado hoje, os pesquisadores explicaram que os agentes de ameaças deixaram de tentar comprometer as contas existentes de editores verificados pela Microsoft e, em vez disso, se fizeram passar por editores confiáveis para se tornarem verificados.
Os agentes de ameaças personificaram outras empresas usando um nome de exibição semelhante a um editor verificado existente, mas ocultaram o nome do "editor verificado", que era diferente, pois a alteração exigiria uma nova verificação com a Microsoft.
Eles também criaram links para as páginas da web de "termos de serviço" e "declaração de política" da empresa legítima para adicionar mais legitimidade a seus aplicativos e identidade.
A Proofpoint identificou três aplicativos OAuth maliciosos de três editores verificados, todos direcionados às mesmas organizações e se comunicando com a mesma infraestrutura controlada por invasores.
"De acordo com nossa análise, esta campanha parecia ter como alvo principalmente organizações e usuários baseados no Reino Unido. Entre os usuários afetados estavam o pessoal financeiro e de marketing, bem como usuários de alto perfil, como gerentes e executivos", disse a Proofpoint.
Dois dos aplicativos foram nomeados "Single Sign On (SSO)" e o terceiro foi chamado de "Meeting", solicitando acesso às seguintes permissões:
Leia seu e-mail
Manter o acesso aos dados aos quais você concedeu acesso
Leia as configurações da sua caixa de correio
Faça seu login e leia seu perfil
Enviar e-mail como você
Leia seus calendários
Leia suas reuniões online
Infelizmente, a Proofpoint viu evidências de vários usuários afetados pelos ataques, resultando no comprometimento de suas organizações.
A campanha durou entre 6 de dezembro de 2022 e 27 de dezembro de 2022, quando a Microsoft desativou todos os aplicativos maliciosos. A investigação sobre o ataque continua.
Em janeiro de 2022, cobrimos uma campanha semelhante descoberta pela Proofpoint, em que os invasores abusaram de contas de editores verificadas comprometidas anteriormente para criar aplicativos OAuth confiáveis com os quais visavam executivos da empresa.
A Microsoft publicou um guia detalhado sobre como os usuários podem se proteger contra esses ataques e as práticas recomendadas para evitá-los.
Postar um comentário