Le minacce informatiche diventano sempre più intelligenti, e una delle più recenti riesce ad aggirare persino gli strumenti che usiamo per proteggere le nostre applicazioni.
I ricercatori di Proofpoint hanno scoperto una nuova ondata di attacchi sofisticati che sfruttano le applicazioni OAuth. Gli hacker stanno usando app OAuth legittime per ottenere accesso duraturo agli ambienti cloud aziendali, anche dopo che gli utenti hanno reimpostato la password o attivato l’autenticazione a più fattori (MFA). Questo aumenta il rischio di violazioni gravi, perché gli attaccanti possono mantenere un accesso continuo alle reti cloud.
Come Funzionano Gli Attacchi Alle App OAuth
OAuth è una tecnologia comoda e ampiamente utilizzata che permette agli utenti di accedere alle applicazioni tramite account come Google o Microsoft, senza digitare una password.
Negli abusi delle applicazioni OAuth, gli attaccanti ingannano gli utenti spingendoli ad autorizzare app malevole che sembrano legittime. Una volta approvate, queste app ricevono “token” con permessi specifici per leggere email, accedere a file o gestire dati nel cloud.
Ciò che rende questi attacchi particolarmente preoccupanti è che i token restano validi anche se l’utente attiva l’MFA o cambia la password successivamente. Significa che gli hacker possono ottenere un accesso persistente e invisibile al cloud per settimane o mesi.
Gli Hacker Possono Bypassare L’MFA Grazie A OAuth
Di solito, l’MFA è un ottimo modo per bloccare gli accessi non autorizzati. OAuth però cambia completamente le carte in tavola.
Dato che l’attaccante non accede tecnicamente all’account dell’utente, non fa scattare l’MFA. È l’app compromessa a operare con i permessi concessi dall’utente. In pratica, app apparentemente innocue diventano una minaccia interna.
Il phishing basato sul consenso OAuth è particolarmente pericoloso per le aziende che utilizzano piattaforme SaaS come Microsoft 365, Google Workspace o Slack. Una volta ottenuto quel primo punto d’ingresso, gli hacker possono:
- Accedere a file sensibili e email
- Distribuire nuove app interne con permessi personalizzati
- Muoversi lateralmente tra servizi collegati
- Lanciare ulteriori attacchi dall’interno della rete
I rischi legati ai token SaaS sono enormi, perché difese tradizionali come il reset delle password o l’MFA non bastano a bloccare un token OAuth già rilasciato. Inoltre, questi attacchi sono difficili da rilevare e da interrompere. Gli aggressori li adorano perché il bypass dell’MFA tramite OAuth è semplice, molto efficace e facilmente replicabile.
Cosa Puoi Fare Per Fermare La Minaccia
Non puoi impedire ogni attacco, ma puoi rendere il tuo ambiente molto più difficile da sfruttare.
- Verificare le app autorizzate: controlla regolarmente quali app OAuth hanno ricevuto permessi e rimuovi quelle sospette o inutili.
- Applicare politiche di accesso condizionale: limita l’uso delle app OAuth a strumenti fidati o fornitori approvati.
- Formare gli utenti: insegna ai dipendenti a fare attenzione alle schermate di consenso e alle richieste inattese di accesso.
- Usare un monitoraggio di sicurezza avanzato: scegli soluzioni che tracciano l’attività dei token OAuth e segnalano comportamenti anomali.
Man mano che gli attacchi di accesso persistente al cloud si fanno più sofisticati, anche le strategie di sicurezza devono evolversi. Quei pochi secondi necessari per inserire una password possono evitare giorni o settimane di inattività e le conseguenze di una violazione.
OAuth ha reso la nostra vita digitale molto più comoda, ma questa comodità porta con sé nuovi rischi. Se la tua azienda si affida alle app cloud, questo è il momento di rafforzare le difese contro gli attacchi basati sulle app OAuth.
