Un nuevo ataque de phishing activo aprovecha el comportamiento legítimo de redirección de OAuth, lo que le permite eludir las defensas tradicionales de correo electrónico y navegador sin robar tokens. Según investigadores de Microsoft Defender, estas campañas se dirigen principalmente a organizaciones gubernamentales y del sector público, utilizando dominios de proveedores de identidad confiables para ocultar redirecciones maliciosas. 

Los actores de amenazas siempre buscan nuevas formas de abusar de plataformas confiables, y Microsoft Entra ID se está convirtiendo cada vez más en un objetivo mediante una técnica conocida como abuso de consentimiento OAuth. Un escenario de ataque recientemente documentado muestra cómo una aplicación de terceros maliciosa o con permisos excesivos —que se asemeja mucho a una herramienta confiable como ChatGPT— puede obtener acceso silenciosamente.

 

Una campaña de phishing en curso está atacando a usuarios de Microsoft 365 mediante el abuso de tokens OAuth para obtener acceso a largo plazo a datos corporativos. Esta campaña se centra en usuarios empresariales en Norteamérica y busca comprometer Outlook, Teams y OneDrive sin robar contraseñas directamente. 

Las aplicaciones web modernas introducen con frecuencia superficies de ataque imprevistas a través de funciones aparentemente inofensivas diseñadas para la participación del usuario, como suscripciones a boletines, formularios de contacto y restablecimientos de contraseña. Aunque las vulnerabilidades individuales puedan parecer manejables de forma aislada, los adversarios sofisticados cada vez más encadenan estos fallos menores para lograr compromisos devastadores. 

El panorama de la seguridad enfrentó un desafío significativo justo antes de finalizar el año con la aparición de ConsentFix, un ingenioso ataque basado en OAuth que explota flujos de autenticación legítimos para extraer códigos de autorización de sistemas Microsoft Entra. Este ataque representa una evolución de la técnica ClickFix, demostrando cómo los atacantes continúan perfeccionando sus métodos para comprometer la autenticación basada en la nube

Una campaña generalizada de phishing ha atacado casi 12.000 repositorios de GitHub con falsos problemas de "Alerta de Seguridad", engañando a los desarrolladores para que autoricen una aplicación OAuth maliciosa que otorga a los atacantes control total sobre sus cuentas y código.

Una debilidad en la funcionalidad de «Iniciar sesión con Google» en el sistema OAuth podría permitir a atacantes explotar dominios abandonados por startups extintas para acceder a datos confidenciales. Esta falla afecta a cuentas de antiguos empleados vinculadas a diversas plataformas de software como servicio (SaaS).

 

 El servicio de alojamiento GitHub reveló que descubrió evidencia de un adversario anónimo que aprovecha los tokens de usuario de OAuth robados para descargar datos privados de varias organizaciones sin autorización.

Un fallo de seguridad en la plataforma de Twitter OAuth estaba permitiendo a aplicaciones de terceros acceder a todos nuestros mensajes directos, incluso cuando la aplicación especificaba en sus permisos que no tenía acceso. La vulnerabilidad fue detectada y reportada por el investigador de seguridad, Terence Eden, quien ha recibido una recompensa Bug Bounty de Twitter de cerca de 3.000 dólares

Los problemas comenzaron cuando usuarios recibieron mensajes aparentemente inocuos y firmados por contactos conocidos invitándoles a editar un archivo en Google Docs. Tras pinchar en el enlace, el usuario era dirigido a una pantalla de autentificación de Google real y legítima que después les pedía continuar a a "Google Docs". Al aceptar esa petición, el usuario proporcionaba los permisos necesarios al phishing (una aplicación web identificada espuriamente como "Google Docs") para acceder a su dirección de correo electrónico y la libreta de contactos asociada, que se añaden a la lista de objetivos.