¿Cómo detectar aplicaciones OAuth maliciosas en Microsoft 365 con Cazadora?

Hacking Ético / Microsoft365 / 24 de octubre de 2025 / Por

Si gestionas al menos un tenant de Microsoft 365, es recomendable auditar tus aplicaciones OAuth. Estadísticamente, existe una alta probabilidad de que haya aplicaciones maliciosas en tu entorno.

Para ayudar en esta tarea, se ha desarrollado un script open source llamado Cazadora: https://github.com/HuskyHacks/cazadora

Qué buscar en tus aplicaciones

Revisa tus Enterprise Applications y Application Registrations para detectar patrones sospechosos:

  • Apps con nombre de un usuario.
  • Apps llamadas “Test”, “Test App” o nombres genéricos similares.
  • Apps con el nombre de tu dominio de tenant.
  • Apps con cadenas arbitrarias o nombres no alfanuméricos (ej. “……..”).
  • URLs de respuesta inusuales, especialmente `http://localhost:7823/access/`.

Cómo funcionan las aplicaciones OAuth en Azure

  • Application Registrations: aplicaciones que construyes y publicas desde tu propio tenant. Funcionan como plantillas.
  • Enterprise Applications: apps creadas por terceros y usadas en tu tenant.
  • Cuando se instala una app, se crea un service principal que actúa como la cuenta de la app en tu tenant.
  • Las apps pueden tener acceso delegado para actuar en nombre de los usuarios.
  • Por defecto, cualquier usuario puede instalar apps y otorgar permisos, lo que crea un vector de ataque potente para ciberdelincuentes.

Tipos de aplicaciones maliciosas

1. Traitorware

Apps legítimas que no son maliciosas por diseño, pero que los atacantes utilizan frecuentemente en ataques.

  • Ejemplo: herramientas de administración remota legítimas usadas para comprometer endpoints.
  • Hallazgo: ~10% de los tenants auditados tenía al menos una Traitorware instalada.

2. Stealthware

Apps maliciosas creadas específicamente por atacantes para ejecutar ataques en un tenant.

  • Cada app es única y diseñada para explotar permisos OAuth.
  • Detectarlas requiere analizar rareza global, número de usuarios asignados y permisos otorgados.

Cómo ayuda Cazadora

  • Script open source que enumera las apps en tu tenant y las audita según atributos sospechosos.
  • Utiliza tu autenticación, llama a la Graph API y analiza los resultados.
  • No garantiza encontrar todas las apps maliciosas, pero es un excelente punto de partida.
  • Permite identificar “smoking gun apps” que podrían representar riesgos significativos.

Recomendaciones

  • Audita tus apps regularmente, buscando patrones sospechosos o permisos inusuales.
  • Clasifica las apps según su uso, permisos y rareza.
  • Considera ejecutar un Identity Security Assessment para obtener un análisis más completo de tu tenant y detectar apps maliciosas, logins sospechosos o reglas de bandeja de entrada peligrosas.

🔥 LO MÁS VISTO DE ESTA CATEGORÍA