A Microsoft emitiu um alerta sobre campanhas de phishing que empregam mecanismos de redirecionamento de URLs OAuth para contornar defesas convencionais implementadas em clientes de e-mail e navegadores. A atividade tem como alvo organizações governamentais e do setor público, com o objetivo final de redirecionar vítimas para infraestrutura controlada pelos atacantes.
O que mudou agora
A técnica, descrita pela Microsoft na segunda-feira, não visa roubar tokens de autenticação OAuth diretamente. Em vez disso, os atacantes utilizam e-mails de phishing que contêm links aparentemente legítimos. Esses links exploram fluxos de autorização OAuth para redirecionar os usuários para domínios maliciosos sem acionar alertas de segurança padrão, que normalmente bloqueiam redirecionamentos diretos para endereços suspeitos.
Vetor e exploração
O ataque começa com um e-mail de phishing convincente, direcionado a funcionários de órgãos públicos. Ao clicar no link, a vítima é levada a uma página de login legítima de um provedor de identidade (como Microsoft Entra ID). Após a autenticação bem-sucedida, o fluxo OAuth é manipulado para redirecionar o usuário para um servidor controlado pelo atacante, que pode hospedar malware ou páginas de coleta de credenciais adicionais. Este método é eficaz porque o redirecionamento ocorre através de um domínio autorizado e confiável no contexto do protocolo OAuth, mascarando a intenção maliciosa.
Impacto e alcance
O foco em entidades governamentais e do setor público eleva o risco estratégico da campanha. O comprometimento dessas organizações pode levar ao vazamento de dados sensíveis, interrupção de serviços essenciais e servir como ponto de entrada para ataques mais profundos, como espionagem ou ransomware. A capacidade de burlar controles de segurança comuns torna esta uma ameaça de alta sofisticação e impacto potencial.
Recomendações de mitigação
A Microsoft recomenda que as organizações implementem políticas de acesso condicional mais rigorosas, revisem e restrinjam permissões de aplicativos OAuth registrados em seus tenants e habilitem a autenticação multifator (MFA). Além disso, é crucial treinar os usuários para identificar tentativas de phishing e monitorar logs de auditoria em busca de atividades suspeitas de aplicativos e consentimentos OAuth.