miércoles, enero 24, 2018

Google alerta de las apps NO verificadas al pedir permisos OAuth. Microsoft Office 365 aún debe mejorar un poco.

Hace ya dos años que comenzamos a trabajar sobre la posibilidad de que aparecieran apps maliciosas en el mundo del cibercrimen para robar datos de los sistemas IdP de plataformas como Gmail u Offife365. Sobre el funcionamiento de estos ataques construimos Sappo, una prueba de concepto de cómo una app maliciosa inyectada en el IdP de Google u Office365 mediante una ataque de phishing que robara tokens OAuth privilegiados para leer el correo, gestionar la agenda, y, como expusimos en un paper, construir ataques RamsonCloud.

Figura 1: Google alerta de las apps NO verificadas al pedir permisos OAuth.
Microsoft Office 365 aún debe mejorar un poco.

Como se puede ver en la demo de Sappo que hicimos para la RootedCON 2016, un atacante podría, usando una app maliciosa, robar un token OAuth que fácilmente cifrara el contenido de un buzón completo de Office 365.


Figura 2: Demo de Sappo en Rooted 2016

Meses después de aquella charla, vimos como se creó un gusano en Gmail que utilizaba justo ese mismo truco, tal y como expliqué en el artículo de "Cómo se ha hecho a Gmail el ataque de Spam masivo por Auth". Es decir, el cibercriminal creo una app integrada en el IdP de Google que utilizó para conseguir el token OAuth2 de las cuentas afectadas. Una vez dentro, accedía a la agenda de contactos y volvía a distribuirse.

Figura 3: Enlace que se re-enviaba por Gmail para robar tokens OAuth

Desde aquel entonces Google ha tomado cartas en el asunto, y ha puesto una alerta bastante gorda cuando se quiere dar permisos OAuth a apps que no han sido verificadas por las manos de sus ingenieros de seguridad. Es decir, un Warning rojo que debería hacer pensar a más de uno antes de darle un token OAuth privilegiado a esa app.

Figura 4: Alerta que da Google cuando la app no ha sido verificada y pide tokens OAuth privilegiados

Sin embargo, en el caso de Office365 - una plataforma ampliamente utilizada en la empresa, y que es fácil de comprobar si una empresa utiliza solo mirando los registros DNS - aún mantiene un sistema mucho más relajado con las apps.


Figura 5: Kevin Mitnick explicando Ransomcloud Office365

Tal y como se puede ver en el vídeo que hizo mi amigo Kevin Mitnick (@kevinmitnick) sobre Ransomcloud, la pantalla de Microsoft Office 365 para dar permisos a tokens OAuth sigue siendo muy user-friendly incluso cuando la app no ha sido verificada por nadie - y es maliciosa como en este caso -.

Figura 6: Pantalla que recibe un usuario con una app NO verificada (y maliciosa)

A ver si mis amigos en Microsoft me ayudan a pedir que empiecen a tomar cartas en el asunto a los equipos de seguridad antes de que tengamos una hecatombe con el sistema de Office 365 en muchas empresas.

Saludos Malignos!

1 comentario:

David dijo...

La historia de siempre, Microsoft se queda detrás de todos los demás en Seguridad.....
Cuándo Google les haga nuevamente un roto, lo arreglarán

Entrada destacada

Cómo usar Movistar + con Aura: Unos vídeo-tutoriales

Desde que lanzamos Aura en Movistar + para España en el pasado Mobile World Congress , el número de casos de usos ha ido creciendo a la pa...

Entradas populares