Alerta de Segurança: Atacantes Abusam de Falsos Client IDs OAuth para Ataques de Enumeração no Microsoft Entra ID
Aprofundamento CEVIU
Aprofundamento
Atacantes agora usam um truque bem sofisticado no Microsoft Entra ID, o antigo Azure AD. Eles forjam o ID de cliente OAuth em requisições ROPC-flow para `/common/oauth2/token`. Este método permite testar usernames e senhas sem que o sistema registre um login bem-sucedido ou gere alertas visíveis.
A tática se aproveita de códigos de erro específicos, como AADSTS50034 para usuário inválido ou AADSTS50126 para senha errada. O mais preocupante é o AADSTS700016. Ele indica um par de usuário/senha válido, mesmo com o Client ID falsificado. Isso engana a segurança, já que o log de acesso não mostra o nome da aplicação. Assim, os atacantes coletam dados importantes sem levantar suspeitas.
O que mudou
O CEVIU News já havia noticiado, em 16 de julho de 2026, sobre ataques de spoofing de ID OAuth para testes furtivos de credenciais. Naquela ocasião, tratava-se de um alerta geral sobre a técnica emergente. Agora, a Proofpoint confirma e detalha a extensão do problema com campanhas massivas observadas em campo. Vimos a confirmação de que esta tática realmente escalou. As campanhas UNK_pyreq2323 e UNK_OutFlareAZ mostram que vários grupos já dominam a técnica. Elas miraram milhões de contas, usando infraestruturas robustas como AWS e Cloudflare.
As diferenças nas campanhas também são notáveis. Enquanto a UNK_pyreq2323 modificava dígitos de um ID conhecido, a UNK_OutFlareAZ gerava um UUIDv4 único por tentativa. Esta evolução na técnica demonstra o amadurecimento das ameaças. Isso aponta para uma adoção disseminada e sofisticada do Client ID spoofing no cenário de cibersegurança.
Por que isso importa
Para empresas e governos, este ataque representa um risco sério. A validação furtiva de credenciais facilita ataques de força bruta e comprometimento de contas. Tudo isso sem disparar as defesas tradicionais. Equipes de segurança precisam reajustar suas estratégias de monitoramento. Ficar atento a entradas de log sem nome de aplicação ou com IDs em branco é fundamental. Considerar o erro AADSTS700016 como um possível indício de credencial comprometida é um passo crucial.
Esta ameaça mostra a necessidade de uma defesa em profundidade. As organizações devem ir além da detecção baseada em sucesso de login. É preciso analisar os erros e o comportamento de requisições maliciosas. Isso ajuda a proteger o ambiente de nuvem de forma mais eficaz.
Linha do tempo
Início da campanha UNK_OutFlareAZ, utilizando Client ID spoofing no Entra ID.
Início da campanha UNK_pyreq2323, explorando Client ID spoofing no Entra ID.
CEVIU News publica sobre ataques de spoofing de ID OAuth para testes furtivos de credenciais.
Alerta de segurança sobre abuso de Client IDs OAuth falsificados no Microsoft Entra ID.
Perguntas frequentes
O que é o spoofing de Client ID OAuth no Microsoft Entra ID?
É uma técnica onde atacantes falsificam o identificador de uma aplicação OAuth em requisições para o Microsoft Entra ID. Isso permite que eles testem a validade de nomes de usuário e senhas. O ataque ocorre sem a necessidade de registrar uma aplicação legítima.
Como os atacantes usam esta técnica para evadir detecção?
Eles enviam requisições ROPC-flow para o endpoint de token OAuth. Analisam os códigos de erro retornados, como AADSTS50034 (usuário inválido) ou AADSTS50126 (senha inválida). Como o Client ID é falsificado, o log de acesso muitas vezes não mostra o nome da aplicação. Isso dificulta a correlação e a detecção por ferramentas que dependem desses campos.
Quais são os principais riscos desse tipo de ataque?
O risco principal é a enumeração furtiva de usuários e a validação de credenciais. Isso significa que atacantes podem identificar contas válidas e pares de usuário/senha corretos. Eles fazem isso sem disparar alertas de login bem-sucedido. Isso abre caminho para acessos não autorizados e outros ataques, como o roubo de dados.
O que as organizações podem fazer para se proteger?
As defesas devem monitorar logs de sign-in. Busque por entradas que não tenham nome de aplicação ou ID de aplicação. Também é importante tratar o erro AADSTS700016 como um sinal de alerta de credenciais válidas. Auditorias de logs e políticas de acesso condicional robustas também ajudam a mitigar o risco.
Fontes
- proofpoint.comfonte original
- Categoria
- CEVIU Segurança da Informação
- Publicado
- 17 de julho de 2026
- Editoria
- CEVIU Segurança da Informação

