La suplantación de IDs de cliente OAuth desafía los sistemas de detección de Microsoft Entra

 Proofpoint, empresa de ciberseguridad y cumplimiento normativo, ha detectado una nueva técnica de evasión en campañas a gran escala contra Microsoft Entra, producto diseñado para gestionar identidades y accesos en la nube. La investigación revela que distintos atacantes han abusado de la suplantación de identificadores de cliente de OAuth para eludir los mecanismos tradicionales de detección basados en aplicaciones.

Los ciberdelincuentes logran validar nombres de usuario, comprobar el estado de las cuentas, deducir la vigencia de las contraseñas, o ver si medidas de protección, como la autenticación multifactor o las políticas de acceso condicional, están activas, sin necesidad de completar un inicio de sesión exitoso, y aprovechando el comportamiento del servicio de autenticación de Microsoft Entra. Al usar IDs de cliente falsificados en vez de aplicaciones OAuth registradas, los atacantes consiguen que los registros de autenticación aparezcan sin un nombre de aplicación asociado, lo que dificulta la correlación de la actividad maliciosa por parte de los equipos de seguridad.

Proofpoint ha identificado dos campañas especialmente relevantes que demuestran la rápida adopción de esta técnica. La primera, UNK_PyReq2323, ha empleado más de 700.000 IDs de cliente suplantados desde la infraestructura de AWS para dirigirse a más de un millón de cuentas en cerca de 4.000 tenants de Microsoft Entra. La segunda, UNK_OutFlareAZ, ha elevado la sofisticación del ataque a través de 3,7 millones de identificadores OAuth aleatorios y únicos, afectando a más de dos millones de usuarios desde la infraestructura de Cloudflare.

Aunque ambas campañas aprovechaban infraestructuras, herramientas y métodos diferentes para generar los identificadores falsificados, los expertos afirman que se trata de una adopción independiente de la misma técnica, lo que evidencia que este procedimiento se consolida como parte habitual del arsenal de los ciberdelincuentes que atacan entornos cloud.

“Esta aparición simultánea de campañas que explotan una misma técnica demuestra que los ataques contra plataformas de identidad evolucionan hacia métodos más sigilosos y difíciles en cuanto a su detección”, aseguran desde Proofpoint“Con la suplantación de IDs de cliente OAuth, y al eliminar uno de los principales indicadores para los equipos de seguridad, como es el nombre de la aplicación, los atacantes consiguen ocultar actividades de reconocimiento y validación de credenciales  que, hasta ahora, habían sido fáciles de identificar”.

Ante estos cambios, Proofpoint recomienda a las organizaciones revisar los registros de inicio de sesión de Microsoft Entra en busca de eventos que carezcan de nombre de aplicación o presenten identificadores de aplicación vacíos, ya que pueden constituir un indicador de suplantación. Aconseja también actualizar las reglas de correlación de los sistemas SIEM para detectar patrones de autenticación distribuidos que no dependan exclusivamente del nombre de la aplicación utilizada, además de analizar en detalle los códigos de error AADSTS, que pueden revelar intentos de validación de credenciales incluso cuando no haya inicio de sesión.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio
Resumen de privacidad

Las cookies y otras tecnologías similares son una parte esencial de cómo funciona nuestra web. El objetivo principal de las cookies es que tu experiencia de navegación sea más cómoda y eficiente y poder mejorar nuestros servicios y la propia web. Aquí podrás obtener toda la información sobre las cookies que utilizamos y podrás activar y/o desactivar las mismas de acuerdo con tus preferencias, salvo aquellas Cookies que son estrictamente necesarias para el funcionamiento de la web de CyberSecurityNews. Ten en cuenta que el bloqueo de algunas cookies puede afectar tu experiencia en la web y el funcionamiento de la misma. Al pulsar “Guardar cambios”, se guardará la selección de cookies que has realizado. Si no has seleccionado ninguna opción, pulsar este botón equivaldrá a rechazar todas las cookies. Para más información puedes visitar nuestra Políticas de Cookies. Podrás cambiar en cualquier momento tus preferencias de cookies pinchando en el enlace “Preferencias de cookies” situado en la parte inferior de nuestra web.