Brecha de segurança em apps OAuth cria backdoor corporativo é o alerta feito por pesquisadores da Proofpoint após identificarem uma técnica que mantém invasores dentro de contas empresariais, mesmo depois da redefinição de senha ou da autenticação multifator.
O ataque se inicia com métodos tradicionais de phishing e kits de proxy reverso para capturar credenciais ou cookies de sessão. Depois de obter acesso inicial, o agente malicioso passa para a etapa de persistência, criando aplicativos OAuth internos que operam como porta dos fundos.
Brecha de segurança em apps OAuth cria backdoor corporativo
Dentro do ambiente comprometido, o criminoso eleva privilégios para registrar novos apps, conceder permissões extensas e configurar APIs voltadas à exploração de dados sensíveis. Esses aplicativos são assinados pela própria conta invadida, o que dificulta a detecção pelos administradores.
Na demonstração feita pela Proofpoint, o app malicioso gera um passe de cliente criptográfico e coleta múltiplos tokens OAuth — de acesso, atualização e identificação. Dessa forma, mantém-se ativo mesmo quando a vítima troca a senha ou redefine a autenticação em dois fatores, possibilitando interceptar e-mails, arquivos do OneDrive, documentos do SharePoint, mensagens do Microsoft Teams e contatos corporativos.
Em um incidente real monitorado pelos pesquisadores, o invasor permaneceu quatro dias na rede antes que tentativas manuais de login com a senha antiga levantassem suspeitas. Ainda assim, o aplicativo clandestino continuou operando até ser removido.
Para eliminar a ameaça, especialistas recomendam revogar imediatamente todas as permissões concedidas ao app suspeito, apagar o registro da aplicação e invalidar as credenciais secretas do cliente. Também é fundamental revisar regularmente os logs de autenticação e monitorar novas inscrições de aplicativos internos.
Segundo a Proofpoint, a falha reforça a necessidade de políticas rígidas de revisão de privilégios e de auditoria constante em ambientes integrados ao Microsoft 365.
Quer se aprofundar em cibersegurança e manter sua empresa segura? Visite nossa editoria de notícias e continue acompanhando os próximos alertas.
Crédito da imagem: Proofpoint
