OAuth Client ID Spoofing
A Proofpoint kutatói egy új, egyre gyakrabban alkalmazott technikát azonosítottak, amely az OAuth client_id mező manipulálásával segíti a Microsoft Entra ID felhasználóinak rejtett felderítését. A támadók nem valódi OAuth-alkalmazást regisztrálnak, hanem hamis vagy véletlenszerű client_id értékeket küldenek a Resource Owner Password Credentials –ROPC- hitelesítési folyamat során. Az Entra ID a különböző hitelesítési hibákra eltérő AADSTS hibakódokkal válaszol, amelyekből megállapítható, hogy egy felhasználónév létezik-e, hibás-e a jelszó, vagy akár az is, hogy a felhasználónév–jelszó páros helyes. Mindez anélkül történhet meg, hogy sikeres bejelentkezés jönne létre.
A technika másik előnye, hogy megnehezíti a felderítést. A Microsoft Entra naplóiban a hamis client_id miatt gyakran nem jelenik meg alkalmazásnév, vagy csak egy ismeretlen alkalmazásazonosító látható, így az olyan észlelési szabályok, amelyek egy ismert alkalmazás nevéhez kötik a gyanús aktivitást, könnyen megkerülhetők. A Proofpoint két egymástól független kampányt is megfigyelt: az egyik ismert alkalmazásazonosítókat módosított minimálisan, míg a másik minden kéréshez új, véletlenszerű client_id-t generált, tovább csökkentve az események összekapcsolhatóságát. Ez arra utal, hogy a módszert már több fenyegető szereplő is átvette.
A kutatás szerint a védekezés során nem elegendő kizárólag a sikeres bejelentkezések figyelése. Érdemes kiemelt figyelmet fordítani az alkalmazásnév nélküli vagy ismeretlen client_id-val érkező hitelesítési eseményekre, valamint az olyan AADSTS hibakódokra – különösen az AADSTS700016 válaszokra –, amelyek első ránézésre egyszerű sikertelen bejelentkezésnek tűnhetnek, valójában azonban arra utalhatnak, hogy egy támadó már sikeresen azonosította az érvényes felhasználói fiókokat vagy hitelesítő adatokat.