Microsoft insta a no confiar en enlaces de Microsoft; suena a broma, pero a las instituciones estatales no les hace gracia.
Por qué el candado junto a la URL ya no es sinónimo de seguridad
Un correo que solicita «firmar un documento» o «confirmar una cuenta» puede dirigir no a un sitio falso, sino a una dirección legítima de Microsoft o Google. Fue ese nivel de confianza el que aprovecharon los atacantes, que aprendieron a usar el mecanismo de redirección del protocolo OAuth para realizar phishing y distribuir malware.
Especialistas de Microsoft registraron campañas contra organismos gubernamentales y organizaciones del sector público. Los ataques se basaban en la función estándar de OAuth, que permite al servicio de autenticación redirigir al usuario a una dirección especificada en ciertas condiciones, por ejemplo ante un error de inicio de sesión. Los atacantes no hackearon cuentas ni robaron tokens de acceso. En su lugar, usaron el comportamiento del protocolo conforme a las reglas, pero en su beneficio.
El esquema comenzaba con la creación de una aplicación maliciosa en la infraestructura del atacante. En la configuración se indicaba una dirección de redirección a un dominio controlado por el atacante, donde alojaban una página de phishing o un archivo con carga maliciosa. Luego enviaban a la víctima un correo con un enlace que parecía una solicitud habitual de inicio de sesión a través del sistema de autenticación, por ejemplo mediante Microsoft Entra ID o cuentas de Google.
Al enlace se le añadían intencionadamente parámetros incorrectos, por ejemplo un ámbito inexistente y el modo «sin presentación de interfaz». Tal combinación provocaba de forma fiable un error de inicio de sesión. Según las reglas OAuth el servicio de autenticación en ese caso redirige el navegador a la dirección predefinida junto con la descripción del error. Como resultado, el usuario veía primero el dominio legítimo de Microsoft o Google y luego era dirigido automáticamente al sitio del atacante.
En los correos empleaban asuntos habituales: firma electrónica, documentos para revisión, notificaciones del departamento de recursos humanos, invitaciones a una reunión en Teams, restablecimiento de contraseña o mensajes sobre problemas con prestaciones sociales. A veces el enlace se ocultaba en un PDF sin texto en el cuerpo del correo. En varios casos la dirección de correo de la víctima se transmitía en el parámetro state, codificada como cadena simple, en hexadecimal o en Base64, para luego insertar automáticamente la dirección en la página de phishing y aumentar la confianza.
Después de la redirección, parte de las campañas llevaban a paneles de phishing clásicos como EvilProxy, que interceptan credenciales y archivos de sesión. En otros casos el ataque pasaba a la infección del dispositivo. El usuario accedía a una página del tipo /download/XXXX, desde donde se descargaba automáticamente un archivo ZIP.
Dentro del archivo había un acceso directo LNK y archivos auxiliares. Al abrirse, el acceso directo ejecutaba PowerShell, que recopilaba información del sistema con comandos como ipconfig y tasklist, luego extraía un ejecutable steam_monitor.exe y la biblioteca crashhandler.dll. El archivo legítimo se ejecutaba y cargaba la biblioteca maliciosa mediante una técnica de sustitución de DLL. La biblioteca descifraba un componente adicional y establecía conexión con el servidor de comando y control. A partir de ahí los atacantes podían asentarse en el sistema y pasar al control manual.
Microsoft informó que los mecanismos de protección Microsoft Defender detectaron actividad sospechosa a nivel de correo, cuentas y dispositivos finales. Se deshabilitaron las aplicaciones OAuth maliciosas detectadas en Entra ID; sin embargo, actividades similares continúan, por lo que la compañía recomienda vigilar atentamente la concesión de consentimientos a aplicaciones, revisar periódicamente los permisos y eliminar integraciones no utilizadas o redundantes.
La raíz de los ataques no es una vulnerabilidad en el software, sino características del estándar OAuth descritas en el RFC 6749 y en documentos posteriores. El protocolo permite la redirección ante errores de autenticación. Los atacantes provocan deliberadamente esos errores y explotan la confianza en los dominios de los grandes proveedores de autenticación para eludir filtros y llevar al usuario inadvertidamente a un recurso malicioso. En un contexto de refuerzo de las protecciones contra el robo de contraseñas y las evasiones de la autenticación multifactor, los ataques apuntan cada vez más a los mecanismos de confianza y al comportamiento de los propios protocolos.