Proofpoint, empresa de ciberseguridad y cumplimiento normativo, ha detectado una nueva técnica de evasión en campañas a gran escala contra Microsoft Entra, producto diseñado para gestionar identidades y accesos en la nube. La investigación revela que distintos atacantes han abusado de la suplantación de identificadores de cliente de OAuth para eludir los mecanismos tradicionales de detección basados en aplicaciones.
Los ciberdelincuentes logran validar nombres de usuario, comprobar el estado de las cuentas, deducir la vigencia de las contraseñas, o ver si medidas de protección, como la autenticación multifactor o las políticas de acceso condicional, están activas, sin necesidad de completar un inicio de sesión exitoso, y aprovechando el comportamiento del servicio de autenticación de Microsoft Entra. Al usar IDs de cliente falsificados en vez de aplicaciones OAuth registradas, los atacantes consiguen que los registros de autenticación aparezcan sin un nombre de aplicación asociado, lo que dificulta la correlación de la actividad maliciosa por parte de los equipos de seguridad.
Proofpoint ha identificado dos campañas especialmente relevantes que demuestran la rápida adopción de esta técnica. La primera, UNK_PyReq2323, ha empleado más de 700.000 IDs de cliente suplantados desde la infraestructura de AWS para dirigirse a más de un millón de cuentas en cerca de 4.000 tenants de Microsoft Entra. La segunda, UNK_OutFlareAZ, ha elevado la sofisticación del ataque a través de 3,7 millones de identificadores OAuth aleatorios y únicos, afectando a más de dos millones de usuarios desde la infraestructura de Cloudflare.
Aunque ambas campañas aprovechaban infraestructuras, herramientas y métodos diferentes para generar los identificadores falsificados, los expertos afirman que se trata de una adopción independiente de la misma técnica, lo que evidencia que este procedimiento se consolida como parte habitual del arsenal de los ciberdelincuentes que atacan entornos cloud.
“Esta aparición simultánea de campañas que explotan una misma técnica demuestra que los ataques contra plataformas de identidad evolucionan hacia métodos más sigilosos y difíciles en cuanto a su detección”, aseguran desde Proofpoint. “Con la suplantación de IDs de cliente OAuth, y al eliminar uno de los principales indicadores para los equipos de seguridad, como es el nombre de la aplicación, los atacantes consiguen ocultar actividades de reconocimiento y validación de credenciales que, hasta ahora, habían sido fáciles de identificar”.
Ante estos cambios, Proofpoint recomienda a las organizaciones revisar los registros de inicio de sesión de Microsoft Entra en busca de eventos que carezcan de nombre de aplicación o presenten identificadores de aplicación vacíos, ya que pueden constituir un indicador de suplantación. Aconseja también actualizar las reglas de correlación de los sistemas SIEM para detectar patrones de autenticación distribuidos que no dependan exclusivamente del nombre de la aplicación utilizada, además de analizar en detalle los códigos de error AADSTS, que pueden revelar intentos de validación de credenciales incluso cuando no haya inicio de sesión.