
Al menos dos actores de amenazas diferentes están utilizando como arma una nueva técnica de evasión llamada suplantación de identidad de cliente OAuth en campañas en la nube, evitando al mismo tiempo la telemetría.
Esta actividad permite a los usuarios enumerar cuentas de usuario y verificar credenciales robadas en un entorno de Microsoft Entra ID sin generar eventos de inicio de sesión exitosos que alerten a los defensores. Y los actores maliciosos están comenzando a aprovechar esta brecha para obtener acceso no autorizado a los servicios en la nube de las organizaciones.
«Punto ciego de telemetría de inicio de sesión en la nube: Entra ID devuelve diferentes respuestas de error dependiendo de si la ID del cliente OAuth proporcionada es válida», dijo Proofpoint en un comunicado. «Un atacante puede aprovechar esto para adivinar nombres de usuario válidos, modificar contraseñas a escala y verificar de manera efectiva una lista de credenciales robadas sin registrar un inicio de sesión exitoso».
En resumen, el ataque aprovecha el ID del cliente OAuth, que es un identificador único global (GUID) asignado a una aplicación cuando solicita acceso a los datos del usuario y pasado como «client_id» en la solicitud de autenticación. Proporcionar un ID de cliente falsificado permite la enumeración de cuentas sin una aplicación OAuth registrada, lo que permite a un atacante adivinar tanto la contraseña como la validez de la cuenta sin generar un evento de inicio de sesión exitoso.
«Los registros de inicio de sesión de Entra son la principal fuente de telemetría para identificar actividades de autenticación maliciosas, como la enumeración de usuarios, la pulverización de contraseñas y los intentos de acceso inicial», dijo la investigadora de Proofpoint Rachel Rabin.
Se ha observado que grupos de amenazas como UNK_CustomCloak explotan una aplicación propia heredada y obsoleta llamada Windows Live Custom Domains para eludir las restricciones de inicio de sesión estándar y falsificar cadenas de agentes de usuario para orquestar campañas de fuerza bruta dirigidas a entornos Microsoft Entra ID al sondear las contraseñas de los usuarios en más de 4.000 inquilinos.
Sin embargo, el último esfuerzo marca una evolución de este oficio al utilizar el flujo de credenciales de contraseña del propietario de recursos (ROPC) para suplantar identidades de clientes de OAuth a través de solicitudes HTTP POST a los puntos finales de token OAuth 2.0 de Microsoft. Específicamente, esto incluye especificar un ID de cliente que sea sintácticamente válido pero que no corresponda a una aplicación real.
En tal escenario, solo se registrará el ID de la aplicación en el registro de inicio de sesión de Entra y no se registrará el nombre de la aplicación correspondiente. Las respuestas que contienen códigos de error del Servicio de token de seguridad de Azure Active Directory (AADSTS) se pueden usar para inferir si existe una cuenta y si la contraseña es correcta, incluso si la aplicación no está registrada.
«Entra no rechaza por completo la solicitud si la identificación del cliente falsificada no es un UUIDv4 adecuado», explicó Proofpoint. «Por lo tanto, un atacante puede analizar esta respuesta de error para determinar una cuenta y contraseña válidas a pesar de utilizar una identificación de cliente con formato incorrecto».
«Cuando se utiliza una identificación de cliente falsificada, el nombre de la aplicación correspondiente no se registra en el registro de inicio de sesión. Esto significa que las detecciones que detectan aumentos repentinos para un nombre de aplicación específico pueden omitir esta actividad por completo porque el campo está en blanco».
Esta información podría permitir a los atacantes identificar cuentas que pueden ser explotadas para un acceso sigiloso, al tiempo que dificultaría a los defensores identificar actividades sospechosas.
Proofpoint dijo que ha identificado dos campañas a gran escala que emplearon esta técnica de forma única hacia finales de diciembre de 2025, lo que indica que esta técnica ya no es un incidente aislado y se está incorporando cada vez más al modus operandi de los atacantes.
UNK_pyreq2323 (enero a marzo de 2026) utilizó más de 700 000 ID de clientes falsificados de la infraestructura de Amazon Web Services (AWS) para apuntar a más de 1 millón de cuentas en aproximadamente 4000 inquilinos, bloqueando aproximadamente el 28 % de los usuarios objetivo debido a intentos fallidos. UNK_OutFlareAZ (a partir de diciembre de 2025). Aprovechando la infraestructura de Cloudflare, nos dirigimos a más de 2 millones de usuarios con 3,7 millones de ID de aplicaciones falsificadas aleatorias.
Se ha observado que ambas campañas utilizan UUID válidos en lugar de identificadores con formato incorrecto y muestran patrones que coinciden con listas de palabras de nombres de usuarios precompiladas. En otras palabras, UNK_OutFlareAZ enumeró los usuarios alfabéticamente, pero UNK_pyreq2323 no. Otro aspecto en el que los dos difieren es en cómo se falsifica la identidad del cliente.
UNK_pyreq2323 supuestamente cambió los dígitos al final de los ID de aplicaciones conocidas y reutilizó los ID falsificados para hasta 12 usuarios. Por el contrario, UNK_OutFlareAZ generó una identificación de cliente única para cada solicitud.
«Fragmentar los intentos de autenticación en muchas aplicaciones hipotéticas dificulta la correlación de la actividad y potencialmente evita la detección por aplicación y la limitación de velocidad», dijo Proofpoint. «Las organizaciones pueden intentar mitigar los ataques de enumeración tradicionales aplicando políticas de acceso condicional que generalmente apuntan a las aplicaciones que están destinadas a la enumeración. Las identidades de clientes falsificadas no activan políticas de CA dirigidas a aplicaciones específicas».
Source link
