Os invasores estão incorporando cada vez mais aplicativos OAuth maliciosos em suas campanhas para comprometer sistemas e aplicativos baseados em nuvem. Para resolver esse problema crescente, a Microsoft está adicionando recursos de interrupção automática de ataques ao seu produto Extended Detection and Response (XDR), que pode desativar automaticamente aplicativos OAuth maliciosos.
OAuth, um padrão de autenticação aberto, fornece login automático para aplicativos e sistemas por meio de tokens de interface de programação de aplicativos (API). A autenticação OAuth fornece uma maneira segura de autenticar usuários e proteger seus dados. Os usuários podem acessar várias contas sem precisar inserir credenciais sempre que fizerem login.
No entanto, os aplicativos OAuth também podem ser explorados. Em dezembro, o Microsoft Threat Intelligence descobriu vários ataques que comprometeram contas de usuários nos serviços em nuvem da Microsoft e permitiram que eles criassem, modificassem e concedessem uma ampla gama de acessos privilegiados. Mesmo depois de perderem o acesso à conta inicialmente comprometida, os invasores conseguiram manter o acesso ao aplicativo e lançaram ataques de phishing e pulverização de senhas contra contas de usuários sem autenticação forte. Permissões elevadas podem permitir que um invasor use os recursos e nomes de domínio da vítima para lançar campanhas de spam ou estabelecer persistência no ambiente da vítima.
“Quando um aplicativo OAuth recebe permissão para fazer login, ele pode fazer muitas coisas. E quando você dá permissão a um aplicativo OAuth malicioso, ele faz login como usuário e finge ser o usuário”, diz Sherrod DeGrippo. Diretor de Estratégia de Inteligência de Ameaças da Microsoft. “É muito, muito importante impedir essa atividade maliciosa.”
Na semana passada, foram introduzidos serviços de armazenamento online. Dropbox avisa O que o atacante tinha Credenciais de cliente acessadas para o serviço Dropbox Sign. A empresa aconselhou os profissionais de segurança a alternar chaves e tokens API e OAuth.
Expandindo os recursos do Defender XDR
No ano passado, a Microsoft adicionou recursos de interrupção automática de ataques ao Defender XDR (anteriormente conhecido como Microsoft 365 Defender). Isso permite detectar e interromper ataques de força bruta, bem como corrigir ransomware, comprometimento de e-mail comercial (BEC) e ataques man-in-the-middle. Use métodos de preenchimento de credenciais e spray de senha. De acordo com DeGrippo, o Defender XDR agora interrompe muitos ataques de ransomware e BEC em três minutos.
Este recurso mais recente, que a Microsoft está apresentando na Conferência RSA em São Francisco esta semana, concentra-se em impedir ataques contra aplicativos baseados em SaaS usando aplicativos OAuth maliciosos. O Defender XDR desativa automaticamente aplicativos OAuth comprometidos, impedindo assim a exploração adicional por invasores, disse a Microsoft em um post anunciando o recurso.
“A interrupção do ataque não apenas impede os ataques de aplicativos OAuth, mas pode interromper significativamente muitos outros cenários que envolvem usuários comprometidos, como vazamento de credenciais, preenchimento e adivinhação”, afirma a empresa.
A Microsoft também adicionou proteção nativa para tecnologia operacional (OT) e sistemas de controle industrial (ICS) ao Defender XDR. De acordo com a Microsoft, os defensores agora podem detectar e responder a ameaças em seus sistemas OT e analisar sua postura de segurança ICS no portal Defender XDR.
Funcionários da Microsoft disseram que, como os invasores dependem da inteligência artificial (IA) para acelerar a velocidade de ataque, eles também precisam acompanhar. De acordo com a Forrester Research, leva em média 63 dias para detectar, responder, erradicar e se recuperar de um ataque. Além disso, uma análise recente da Microsoft mostra que um invasor pode começar a se mover lateralmente dentro de uma organização em cinco minutos e completar toda a cadeia de ataque em duas horas.
“A IA está sendo fortemente aproveitada não apenas em nossas capacidades de detecção, mas também nesta capacidade destrutiva”, disse DeGrippo. “Tal como acontece com tudo o que fazemos, queremos ser mais rápidos do que os agentes de ameaças, e a IA é definitivamente uma das coisas que nos dá o poder da velocidade.”
