Una nueva y muy efectiva técnica de phishing, denominada informalmente 'ConsentFix' por la comunidad de seguridad, está eludiendo con éxito la autenticación basada en contraseña y la autenticación multifactor (MFA) para secuestrar cuentas de usuario de Microsoft. Este vector de ataque representa un cambio de paradigma, pasando de robar credenciales a manipular el flujo de concesión de autorización OAuth 2.0, una piedra angular del inicio de sesión único (SSO) moderno y la integración de aplicaciones.
La cadena de ataque comienza con un correo electrónico de phishing dirigido, un SMS o un mensaje diseñado para crear una sensación de urgencia. La víctima es dirigida a una página de phishing elaborada profesionalmente que imita una pantalla de inicio de sesión legítima de Microsoft. Crucialmente, esta página no está diseñada para capturar nombres de usuario y contraseñas. En su lugar, inicia una solicitud de autorización OAuth 2.0 legítima a la plataforma de identidad de Microsoft (login.microsoftonline.com).
Cuando el usuario hace clic en 'Iniciar sesión' en esta página engañosa, es redirigido al portal de inicio de sesión genuino de Microsoft—un detalle que a menudo tranquiliza a las víctimas potenciales. El usuario introduce entonces sus credenciales y completa cualquier desafío MFA, como aprobar una notificación push o introducir un código de una aplicación de autenticación. En este punto, los controles de seguridad tradicionales se dan por satisfechos.
El engaño crítico ocurre a continuación. Tras la autenticación exitosa, Microsoft presenta una pantalla de consentimiento OAuth pidiendo al usuario que conceda permisos a una aplicación. El atacante ha registrado una aplicación multiinquilino maliciosa en Azure, dándole un nombre convincente como 'Microsoft Security Suite', 'Visor de Documentos de la Empresa' u otro título plausible. La solicitud de permisos pide acceso significativo, como Mail.Read (leer correo), Calendars.ReadWrite (leer y escribir calendarios), Contacts.Read (leer contactos), o incluso User.Read.All (leer todos los perfiles de usuario).
La mayoría de los usuarios, tras completar el MFA y ver la interfaz familiar de Microsoft, hacen clic instintivamente en 'Aceptar' para continuar, creyendo que es parte de una actualización o integración necesaria. Al otorgar el consentimiento, el usuario autoriza a la aplicación del atacante a acceder a los datos de su cuenta de Microsoft a través de Microsoft Graph API. La plataforma de Microsoft emite entonces un código de autorización a la aplicación maliciosa, que se intercambia por un token de acceso y, lo más importante, un token de actualización de larga duración.
Este token de actualización es el botín principal para el atacante. Le permite generar nuevos tokens de acceso de forma independiente, manteniendo un acceso persistente al buzón de correo, OneDrive, calendario y contactos de la víctima sin necesitar nunca más la contraseña o el MFA. La cuenta está efectivamente comprometida. El atacante puede entonces usar este acceso para compromiso de correo electrónico empresarial (BEC), exfiltración de datos, movimiento lateral dentro de una organización o lanzar más campañas de phishing desde una cuenta de confianza.
Por qué este ataque es particularmente efectivo:
- Elude el MFA: El usuario completa legítimamente el MFA en el sitio real de Microsoft. El ataque explota lo que sucede después de la autenticación.
- Explota la confianza en la interfaz: Los usuarios están condicionados a confiar en las ventanas emergentes de autenticación de Microsoft. Los atacantes abusan de esta confianza presentando una solicitud de consentimiento maliciosa inmediatamente después de un flujo de inicio de sesión legítimo.
- Sigiloso y persistente: No es necesario cambiar la contraseña, por lo que la víctima puede no notar ninguna anomalía. El acceso persiste mediante tokens de actualización, que son más difíciles de revocar para los usuarios ya que no son tan visibles como las sesiones activas.
- Difícil de detectar: El sitio de phishing inicial puede usar HTTPS y tener un dominio convincente. El núcleo del ataque aprovecha la propia infraestructura de Microsoft, lo que dificulta que los filtros de red lo bloqueen.
Estrategias de mitigación y defensa:
Para usuarios finales y administradores, la vigilancia es la primera línea de defensa. Los usuarios deben ser entrenados para tratar las pantallas de consentimiento OAuth con la misma sospecha que las páginas de inicio de sesión. Deben revisar cuidadosamente el nombre de la aplicación, el editor y la lista de permisos solicitados antes de conceder el acceso. Una solicitud para 'Leer todos tus correos electrónicos' de una aplicación 'Visor de Documentos' desconocida es una señal de alarma importante.
Las organizaciones pueden tomar medidas proactivas:
- Revisar y restringir aplicaciones OAuth: Los administradores deben auditar regularmente las aplicaciones con consentimiento en el portal de Azure AD (Azure Active Directory > Aplicaciones empresariales). Las aplicaciones sospechosas o innecesarias deben revocarse inmediatamente.
- Implementar Control de aplicaciones de acceso condicional: Usando soluciones como Microsoft Defender for Cloud Apps, los administradores pueden monitorizar y controlar las sesiones de usuario con aplicaciones de terceros, bloqueando el acceso o requiriendo verificación adicional para aplicaciones de alto riesgo.
- Aprovechar las Restricciones de inquilino: Para las organizaciones, configurar restricciones de inquilino de Azure AD puede evitar que los usuarios otorguen consentimiento a aplicaciones de inquilinos no confiables.
- Deshabilitar el consentimiento del usuario: En entornos de alta seguridad, los administradores pueden desactivar por completo el consentimiento del usuario, requiriendo que todos los permisos de las aplicaciones sean revisados y otorgados por un administrador de TI.
- Monitorización mejorada: Configurar alertas para cuando los usuarios concedan permisos de alto privilegio a aplicaciones nuevas o desconocidas.
El dilema de 'ConsentFix' subraya una verdad fundamental en ciberseguridad: a medida que se fortalecen las defensas alrededor de un vector (contraseñas y MFA), los atacantes innovarán y pivotarán para explotar otros. En este caso, se dirigen al vacío psicológico y procedimental entre la autenticación exitosa y el acceso autorizado. Defender contra esto requiere una combinación de controles técnicos, educación continua del usuario y una postura de seguridad proactiva que asuma que las solicitudes de consentimiento pueden ser utilizadas como arma.
Comentarios 0
Comentando como:
¡Únete a la conversación!
Sé el primero en compartir tu opinión sobre este artículo.
¡Inicia la conversación!
Sé el primero en comentar este artículo.