Novo ataque explora apps OAuth para invadir contas Microsoft e dribla autenticação multifator
Uma campanha de phishing recentemente detalhada pela empresa de cibersegurança Proofpoint mostra que agentes maliciosos estão a explorar aplicações Microsoft OAuth para assumir o controlo de contas corporativas, mesmo quando protegidas por autenticação multifator (MFA). O método combina pedidos de permissão aparentemente legítimos com redirecionamentos ocultos e páginas falsas de verificação em duas etapas.
Como o esquema se desenrola
O golpe segue um fluxo estruturado em várias fases:
1. E-mail inicial – Mensagens enviadas a partir de contas já comprometidas apresentam-se como pedidos de orçamento ou contratos comerciais. O objetivo é reforçar a credibilidade e incentivar a abertura do link.
2. Redirecionamento para página controlada – O endereço incluído no e-mail conduz a um site sob controlo dos atacantes. A vítima depara-se ali com o pedido de autorização de uma aplicação OAuth que se faz passar por serviço conhecido, como RingCentral, SharePoint ou DocuSign.
3. Concessão de permissões – Caso o utilizador aceite, o serviço emite um token de acesso que concede aos atacantes permissão para agir em nome da conta dentro do Microsoft 365.
4. Desvio para CAPTCHA e verificação falsa – Independentemente de a autorização ser aceite ou recusada, o utilizador é conduzido a um desafio CAPTCHA e, em seguida, a uma página que imita a autenticação de dois fatores da Microsoft. O código inserido é capturado e associado ao cookie de sessão.
5. Controlo da sessão – Com o token OAuth e o cookie de sessão, os criminosos obtêm acesso directo ao ambiente corporativo, dispensando novas credenciais e contornando a MFA.
Ferramentas e alcance da campanha
A Proofpoint identificou o uso da plataforma de Phishing-as-a-Service (PhaaS) conhecida como Tycoon para automatizar o roubo de cookies. Segundo o relatório, em 2025 foram visadas aproximadamente 3 000 contas distribuídas por mais de 900 instâncias do Microsoft 365. A taxa de sucesso estimada atinge 50 %, valor considerado elevado por especialistas.
Os atacantes focam-se em entidades empresariais, onde o acesso a e-mails, ficheiros e aplicações colaborativas pode abrir caminho a movimentações laterais, espionagem ou extorsão financeira.
Por que o OAuth se torna alvo
O protocolo OAuth 2.0 foi concebido para facilitar integrações sem expor palavras-passe. Sites e aplicações recorrem ao serviço de autorização da Microsoft para obter tokens de acesso, que funcionam como chaves temporárias. Ao convencer o utilizador a aprovar um pedido malicioso, o atacante recebe um token legítimo, emitido pela própria Microsoft, dificultando a detecção pelos sistemas de segurança.
Recomendações de mitigação
A Proofpoint sugere cinco medidas prioritárias para reduzir o risco:
• Filtragem de e-mails – Reforçar mecanismos antiphishing capazes de bloquear mensagens com redirecionamentos suspeitos.
• Revisão de aplicações autorizadas – Auditar periodicamente os tokens concedidos e remover permissões desnecessárias.
• Monitorização de acessos – Implementar alertas para sessões invulgares, como inícios de sessão a partir de localizações atípicas.
• Formação de utilizadores – Explicar o funcionamento do OAuth e as limitações da MFA tradicional diante de ataques adversary-in-the-middle.
• Chaves FIDO – Adoptar autenticação física baseada em padrões FIDO como camada extra, reduzindo a dependência de códigos gerados por aplicativo ou SMS.
Tendência para 2025
De acordo com a Proofpoint, campanhas que combinam roubo de identidade, proxy entre utilizador e servidor e exploração de tokens válidos deverão tornar-se cada vez mais frequentes. A visibilidade limitada sobre as permissões concedidas via OAuth cria oportunidade para cadeias de ataque discretas, capazes de contornar políticas de segurança tradicionais.
Organizações que utilizam o Microsoft 365 são aconselhadas a implementar políticas de consentimento de aplicações, exigindo aprovação administrativa antes de um utilizador poder autorizar qualquer serviço externo. A par disso, a verificação contínua de actividade anómala no Microsoft Graph e outros serviços da nuvem torna-se essencial para detetar rapidamente o uso indevido de tokens.
Os especialistas alertam que, sem alterações nos processos de segurança e formação dos colaboradores, a combinação entre engenharia social e exploração de protocolos de autorização continuará a gerar incidentes com impacto operacional e financeiro significativo.
Imagem: tecmundo.com.br
