Home Variedade Brecha de segurança de apps OAuth cria backdoor em ambientes corporativos

Brecha de segurança de apps OAuth cria backdoor em ambientes corporativos

by Fesouza
3 minutes read

Pesquisadores da Proofpoint identificaram um novo método de ataque que explora vulnerabilidades em aplicações OAuth para manter o acesso a contas corporativas comprometidas — mesmo depois de redefinições de senha ou autenticações multifator. O grupo de segurança alertou que agentes maliciosos já estão utilizando a técnica em campanhas reais.

De acordo com a Proofpoint, o ataque começa de forma tradicional, com o uso de kits de proxy reverso e phishing para roubar credenciais ou cookies de sessão. A partir daí, o invasor obtém acesso à conta e inicia a segunda fase da operação, voltada à persistência dentro do sistema.

Com o controle da conta, o criminoso eleva seus privilégios para registrar novas aplicações internas, definir permissões específicas e configurar APIs voltadas à exploração de dados sensíveis. Essas aplicações OAuth recém-criadas funcionam como uma espécie de backdoor, garantindo que o invasor mantenha acesso mesmo após mudanças de senha ou revalidação do login por autenticação em dois fatores.

Figure 7
O app malicioso consegue interceptar o conteúdo de e-mails mesmo após redefinição de senha. (Fonte: Proofpoint/Reprodução)

Segundo a Proofpoint, essa estratégia foi utilizada em pelo menos um ataque que perdurou por quatro dias. Só foi percebida a invasão depois de o atacante tentar fazer login manualmente na conta invadida, mas com senha redefinida. O app malicioso, porém, continuava ativo.

Como funciona o app malicioso?

Em uma simulação realizada pela Proofpoint, os pesquisadores demonstraram como o ataque opera na prática. Dentro da conta comprometida, o kit de ferramentas malicioso implanta um aplicativo OAuth com todas as permissões necessárias para se manter ativo.

O app é assinado pela própria conta invadida, o que o faz parecer legítimo dentro do ambiente corporativo. Em seguida, ele cria um passe de cliente criptográfico, usado como credencial de autenticação, e coleta múltiplos tokens OAuth — incluindo tokens de acesso, atualização e identificação.

Com isso, mesmo que o usuário tente se desconectar, redefinir a senha ou reconfigurar a autenticação multifator, o app continuará ativo e com as mesmas permissões concedidas anteriormente.

Quais dados podem ser coletados?

Uma vez ativo, o aplicativo malicioso aproveita as permissões obtidas para monitorar e interceptar informações dentro da conta comprometida. Entre os dados potencialmente expostos, estão:

  • Documentos armazenados no SharePoint e conteúdo colaborativo;
  • Arquivos salvos no OneDrive;
  • Mensagens e dados de canais do Microsoft Teams;
  • Informações de calendário;
  • Contatos da organização.

Como remover a ameaça?

Segundo os pesquisadores, a única maneira de eliminar completamente o risco é remover o aplicativo malicioso do ecossistema corporativo e revogar todas as permissões concedidas. Além disso, é essencial invalidar todas as credenciais secretas do cliente para impedir que o atacante volte a obter acesso.

O alerta reforça a importância de monitorar constantemente as permissões de aplicativos internos e revisar logs de autenticação em busca de atividades incomuns, especialmente em ambientes integrados com o Microsoft 365.

Fique de olho no TecMundo para acompanhar as principais descobertas de segurança cibernética e entender como proteger sua empresa de novas ameaças digitais.

You may also like

Leave a Comment