▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

False applicazioni OAuth minacciano gli account Microsoft 365

Applicazioni OAuth fasulle imitano Adobe e DocuSign per rubare dati sensibili dagli account Microsoft 365 e diffondere malware tramite phishing.

Tecnologie/Scenari

Da tempo gli account Microsoft 365 sono nel mirino dei cyber criminali, che studiano raggiri sempre nuovi per ottenere l'accesso non autorizzato agli account degli utenti.​ I ricercatori di Proofpoint si sono recentemente concentrati su due campagne malevole che sfruttano applicazioni OAuth fasulle, mascherate da servizi legittimi.

In particolare, le applicazioni malevole in questione imitano servizi noti come Adobe Drive, Adobe Drive X, Adobe Acrobat e DocuSign richiedendo permessi apparentemente innocui, come l'accesso al profilo utente, all'indirizzo email e alle informazioni di base dell'account Microsoft. Tuttavia, una volta ottenuta l’autorizzazione, gli attaccanti accedono a informazioni personali sensibili, compresi il nome completo, l’ID utente, la foto del profilo e l’indirizzo email principale. Questi dati vengono poi usati successivamente per attacchi di phishing o la distribuzione di malware.​

La catena di attacco è classica: si parte con email di phishing spedite da account compromessi appartenenti a enti di beneficenza o piccole aziende (probabilmente si tratta di account Office 365 già violati in passato). I destinatari che abboccano vengono reindirizzati a una pagina di autorizzazione OAuth fasulla, con una interfaccia molto simile a quella legittima, in cui viene chiesto all’utente di concedere i permessi richiesti.​

Non siamo di fronte a un inedito perché i tentativi di abuso del protocollo OAuth sono noti da tempo: in passato sono stati osservati attacchi simili che sfruttavano applicazioni OAuth malevole per accedere a servizi cloud come Microsoft 365 e Google Workspace. In tutti i casi questo modo di procedere denota una tecnica sofisticata per l’elusione delle misure di sicurezza e quindi una preparazione tecnica di un certo livello da parte dei cyber criminali.

Ecco perché la campagna segnalata da Proofpoint è un importante monito per ricordare l’importanza di una vigilanza costante nella concessione delle autorizzazioni delle applicazioni.​ Le aziende devono implementare controlli rigorosi sulle applicazioni OAuth autorizzate all'interno dei propri ambienti, devono periodicamente revisionare le applicazioni connesse, revocare le autorizzazioni non necessarie ed educare gli utenti sui rischi associati all'autorizzazione delle applicazioni di terze parti.

Inoltre, i ricercatori Proofpoint ricordano che attivare soluzioni di sicurezza avanzate può permettere il monitoraggio proattivo delle attività sospette legate alle applicazioni OAuth, così da mitigare il rischio di compromissione degli account.​

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato
Iscriviti alla nostra Newsletter Gratuita. Iscriviti
Rimani sempre aggiornato, seguici su Google News! Seguici

Notizie correlate

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter