Hackers Abusan de OAuth 2.0 para Secuestrar Cuentas de Microsoft 365

Noticias Hacking y Seguridad Informática / Microsoft, Microsoft365, Phising / 22 de octubre de 2025 / Por

Un grupo de hackers rusos ha estado explotando los flujos de autenticación legítimos de OAuth 2.0 para secuestrar cuentas de Microsoft 365 de empleados de organizaciones vinculadas a Ucrania y derechos humanos.

A través de phishing y suplantación de identidad, los atacantes logran obtener códigos de autorización de Microsoft y acceder a cuentas comprometidas.

Detalles del Ataque ️

  • Método de ataque: Los atacantes contactan a las víctimas a través de plataformas de mensajería como WhatsApp y Signal, suplantando a funcionarios políticos europeos o diplomáticos ucranianos. Luego, envían enlaces de phishing OAuth disfrazados de invitaciones a videollamadas.

  • Proceso de phishing: Después de que las víctimas autenticaron su cuenta, el atacante las redirige a una página maliciosa de Visual Studio Code, donde se les pide un código de autorización OAuth que en realidad permite acceso completo a los recursos del usuario en Microsoft 365.

  • Objetivo final: Una vez que los atacantes consiguen este código, pueden obtener un token de acceso que les da acceso no solo a los correos electrónicos de la víctima, sino también a otros recursos sensibles. Además, el código tiene una validez de 60 días, lo que permite a los atacantes mantener el acceso durante un largo período.

Fases del Ataque

  1. Primer contacto: El atacante envía un mensaje suplantando a un funcionario ucraniano o europeo.
  2. Enlace de phishing: Se envía un enlace OAuth bajo la excusa de unirse a una videollamada o acceder a documentos relacionados con Ucrania.
  3. Obtención del código de autorización: La víctima ingresa sus credenciales, entregando el código que otorga acceso a la cuenta.
  4. Registro de dispositivo malicioso: En algunos casos, el atacante usa el código para registrar un dispositivo no autorizado en el Microsoft Entra ID, lo que permite mantener el acceso incluso después de un cambio de contraseña.
  5. Aprobación de 2FA: Finalmente, el atacante engaña a la víctima para que apruebe una solicitud de autenticación de dos factores (2FA) y pueda acceder a los correos electrónicos y otros recursos.

Recomendaciones de Seguridad ️

  • Alertas de inicio de sesión: Configurar alertas de inicio de sesión que utilicen el client_id de Visual Studio Code.
  • Bloqueo de acceso: Restringir el acceso a insiders.vscode.dev y vscode-redirect.azurewebsites.net.
  • Políticas de acceso condicional: Implementar políticas para permitir solo dispositivos aprobados para acceder a las cuentas de Microsoft 365.

🔥 LO MÁS VISTO DE ESTA CATEGORÍA