A Microsoft alertou sobre campanhas que abusam do redirecionamento legítimo do OAuth para contornar proteções anti-phishing e levar usuários a destinos maliciosos. O caso reforça um ponto prático: segurança de identidade não é só senha e MFA, é governança de aplicativos e controle de redirecionamentos.

🧠 O que aconteceu

A BleepingComputer reportou um alerta baseado em observações do Microsoft Defender: atacantes estão abusando do mecanismo legítimo de redirecionamento do OAuth para contornar proteções de phishing em e-mail e navegador e levar a vítima a páginas maliciosas. Em vez de “quebrar” o login, o truque aqui é usar um comportamento esperado do protocolo quando ocorre um erro de autorização e o fluxo precisa redirecionar o usuário.

O detalhe importante: o OAuth 2.0 é usado para permitir que aplicações obtenham acesso delegado a recursos do usuário. Esse mundo de “delegação” é útil, mas também cria superfícies de ataque quando permissões, consentimentos e redirecionamentos ficam soltos demais.

🎯 Quem é impactado e por quê

Segundo a notícia, as campanhas observadas miram organizações governamentais e do setor público. As iscas citadas são bem “corporativas”: pedidos de assinatura eletrônica, notificações de seguridade social, convites de reunião, resets de senha, além de temas financeiros e políticos. Em alguns casos, os URLs aparecem dentro de PDFs para tentar escapar de mecanismos de detecção.

Esse tipo de abordagem funciona porque explora hábitos: clicar rápido em coisas “rotineiras” e confiar em fluxos de autenticação que parecem familiares. E aqui mora a pegadinha: o início do link pode lembrar um pedido legítimo de autorização, mas o destino final após o redirecionamento pode estar sob controle do atacante.

🧪 O que a notícia indica

A notícia descreve, em linhas gerais, como o abuso acontece. Os atacantes criam aplicações OAuth maliciosas em um tenant que eles controlam e configuram um redirect URL apontando para a própria infraestrutura. Mesmo quando a URL do Entra ID “parece” um pedido legítimo de autorização, ela pode ser invocada com parâmetros voltados a autenticação silenciosa (sem login interativo) e um escopo inválido, o que provoca um erro. Esse erro, por sua vez, leva o provedor de identidade a redirecionar o usuário para o redirect URL previamente configurado pelo atacante.

A reportagem também cita que pesquisadores observaram o uso de parâmetros inválidos (como scope ou prompt=none) para disparar esses redirecionamentos silenciosos por erro.

Dois desfechos aparecem no texto:

  1. Redirecionamento para páginas de phishing (golpe de login). Em alguns casos, essas páginas usam frameworks attacker-in-the-middle (interceptação), como EvilProxy, que podem capturar cookies de sessão válidos e contornar proteções de MFA. O texto menciona ainda o mau uso do parâmetro state para auto-preencher o e-mail da vítima no formulário, aumentando a sensação de legitimidade.
  2. Redirecionamento para um caminho de download que entrega automaticamente um arquivo ZIP com atalhos maliciosos (.LNK) e ferramentas de HTML smuggling (contrabando em HTML). Ao abrir o .LNK, a cadeia descrita envolve PowerShell para reconhecimento do host e preparação de DLL side-loading. A notícia cita uma DLL maliciosa (crashhandler.dll) que descriptografa e carrega o payload final (crashlog.dat) em memória, enquanto um executável legítimo (stream_monitor.exe) carrega um decoy para distrair o usuário.

✅ Como se proteger

Checklist rápido

  • Revise governança de aplicações OAuth: quem pode registrar apps, quais permissões são aceitas e como o consentimento é controlado.
  • Restringa permissões ao mínimo necessário e faça revisões periódicas de apps e consentimentos concedidos.
  • Reforce políticas de Conditional Access (acesso condicional) para reduzir autenticações de risco e exigir controles consistentes.
  • Invista em detecção cruzada (cross-domain): correlacionar sinais de e-mail, identidade e endpoint, porque a campanha atravessa essas camadas.
  • Treine o usuário para um hábito simples: o começo do link não basta — observe para onde o fluxo redireciona e desconfie quando “muda de domínio” no meio do caminho.

🛡️ Como a Neologik ajuda: Neologik Safe

O Neologik Safe é a camada de cibersegurança da Neologik para prevenir, detectar e responder a ameaças centradas em identidade. Nesse tipo de cenário, ele ajuda a conectar sinais que normalmente ficam separados (e-mail, autenticação e endpoint), acelerando triagem e contenção, além de apoiar o endurecimento de controles como governança de apps OAuth e Conditional Access, sem prometer proteção absoluta.
Link do produto: https://neologik.com.br/solucoes#safe

🔗 Referências

BleepingComputer (03/03/2026) — https://www.bleepingcomputer.com/news/security/microsoft-hackers-abuse-oauth-error-flows-to-spread-malware/

Leia mais

A Neologik é uma empresa de tecnologia especializada em infraestrutura, nuvem, cibersegurança e backup corporativo, oferecendo soluções completas para negócios que buscam eficiência, segurança e evolução digital.

Quem somosSoluçõesTech TrendsJunte-se a nósFale conosco
CNPJ: 46.344.226/0001-00
Av. Engenheiro Luís Carlos Berrini, 1748
© 2025 Neologik — Tecnologia para evoluir, não para complicar.
Política de Privacidade