Lecciones de Seguridad en la Abuso de OAuth: Cómo ShinyHunters Exponenció Integraciones SaaS y las Respuestas de Microsoft Defender



En el panorama actual de la seguridad corporativa, un incidente reciente ha resaltado la fragilidad de confiar en integraciones SaaS y en flujos de autenticación válidos. ShinyHunters perturbó entornos de Salesforce al explotar la confianza en OAuth, engañando a usuarios y, posteriormente, comprometiendo integraciones SaaS para robar tokens y acceder a cientos de entornos de clientes. Las estimaciones de víctimas variaron, con reportes que señalan hasta 700 organizaciones afectadas durante un año de actividad maliciosa. A través de APIs legítimas, los atacantes exfiltraron datos, lo que dificultó la distinción entre comportamiento normal y actividad maliciosa, facilitando una persistencia extendida en los sistemas objetivo.

Este caso subraya una verdad operativa: cuando la confianza en proveedores y flujos de autenticación no está adecuadamente gobernada, las brechas pueden propagarse a través de cadenas de suministro de software y servicios. En respuesta a la evolución de las técnicas empleadas por ShinyHunters, Microsoft anunció mejoras significativas en Defender for Cloud Apps. Las mejoras se agrupan en dos categorías: detección e investigación más avanzadas, y capacidades de postura y gobernanza para aplicaciones conectadas (OAuth y otras) con mayor contexto y control.

Contexto y evolución de la campaña
– Agosto de 2025: los atacantes llamaron a las víctimas haciéndose pasar por soporte técnico y persuadieron a los usuarios para autorizar una aplicación aparentemente legítima de Salesforce Data Loader. En realidad, esa app solicitaba permisos OAuth que les permitían acceder a datos de Salesforce a través de APIs oficiales, haciendo que la actividad pareciera ser de un usuario autorizado.
– Meses después, la campaña evolucionó a comprometer proveedores SaaS de terceros que se integraban con Salesforce, entre ellos integraciones de Drift/Salesloft, Gainsight y Klue. Al robar tokens de OAuth o secretos de integración de estos proveedores, los atacantes accedieron a numerosos entornos de clientes sin interactuar con cada cliente de forma individual.
– En ocasiones, la evidencia publicada por terceros señalaba más de 700 organizaciones potencialmente afectadas durante el periodo de campaña.

Respuesta y mejoras clave de Microsoft Defender for Cloud Apps
– Mayor visibilidad: Microsoft ha trabajado para ampliar la visibilidad de las aplicaciones conectadas por OAuth y mejorar la atribución de actividades a aplicaciones conectadas específicas. Esto incluye una correlación más rica entre eventos de API y comportamientos de OAuth, permitiendo identificar patrones atípicos con mayor precisión.
– Telemetría y detección en tiempo cercano a real: se han implementado mejoras en la telemetría que facilitan detectar señales de abuso de OAuth y de APIs de manera casi en tiempo real, reduciendo la ventana de oportunidade para la exfiltración y la persistencia del atacante.
– Gobernanza fortalecida: se introdujeron capacidades de gobernanza más robustas para integrations de terceros, con análisis de permisos, puntuación de riesgo y gestión de ciclos de vida de las aplicaciones conectadas. Este enfoque ayuda a la organización a monitorizar, evaluar y, cuando sea necesario, revocar accesos de manera más eficiente.

Lecciones para la defensa modernas
– La seguridad de OAuth no se limita a la autenticación; implica la gestión de permisos, la supervisión de flujos de autorización y la vigilancia de actividades a través de integraciones de terceros.
– Las campañas pueden evolucionar desde ataques dirigidos a usuarios individuales hasta compromisos de proveedores de software que conectan con múltiples clientes, ampliando el alcance de la amenaza sin interacción directa con cada víctima.
– La visibilidad integral de las integraciones, junto con la gobernanza proactiva, es crucial para detectar y mitigar abusos antes de que se conviertan en filtraciones de datos significativas.

Conclusión
Este episodio subraya la importancia de una postura de seguridad centrada en la gobernanza de aplicaciones conectadas y en la detección proactiva de comportamientos anómalos en entornos que dependen de APIs y OAuth. Las mejoras anunciadas por Microsoft Defender for Cloud Apps representan un paso importante hacia una defensa más granular y sostenible frente a actores que buscan abusar de relaciones de confianza entre clientes, proveedores y plataformas SaaS.

from Latest from TechRadar https://ift.tt/UuDne39
via IFTTT IA