CEVIU Logo
Voltar
Ataques de Spoofing de ID OAuth Permitem Teste Furtivo de Credenciais Microsoft Entra

Ataques de Spoofing de ID OAuth Permitem Teste Furtivo de Credenciais Microsoft Entra

Aprofundamento CEVIU

Aprofundamento

O UNK_pyreq2323 não é uma ferramenta pública nem um projeto de código aberto, é uma campanha operacional ativa, documentada pela Proofpoint entre janeiro e março de 2026, que explora uma falha de design no Microsoft Entra ID: o tratamento diferenciado de erros AADSTS quando um client_id OAuth sintaticamente válido (mas não registrado) é usado no fluxo ROPC. Esse fluxo, já desaconselhado pela Microsoft por ser incompatível com MFA e expor credenciais em texto claro, vira alvo perfeito. O UNK_pyreq2323 reutiliza IDs de aplicativos conhecidos, alterando só os dígitos finais, e aplica cada spoofed ID em até 12 usuários, o que reduz a entropia do tráfego e aumenta a eficiência da enumeração sem acionar limites por aplicativo.

Isso não é simples 'força bruta': é engenharia de erro. Cada resposta AADSTS (como o código 700016) revela, silenciosamente, se o usuário existe e se a senha está correta, tudo sem gerar um evento de login bem-sucedido nos logs do Entra ID. E pior: o campo 'application name' fica vazio no log, tornando invisíveis tanto detecções baseadas em nome de app quanto políticas de Acesso Condicional vinculadas a aplicações específicas. A infraestrutura usada, AWS com mais de 700 mil IDs falsos, mostra escala industrial, não teste acadêmico.

O que mudou

A cobertura CEVIU de 3 de julho de 2026 já havia alertado sobre um ataque massivo de password spray ao Azure CLI, com 81 milhões de tentativas em duas semanas, mas lá o vetor era direto, ruidoso e dependia de credenciais válidas em ambientes com MFA fraco. O UNK_pyreq2323 representa uma mudança tática profunda: troca volume por furtividade. Em vez de bater repetidamente no mesmo endpoint com senhas aleatórias, ele manipula o próprio protocolo OAuth para extrair validação de credenciais via análise de erros. É a primeira vez que a CEVIU registra uma campanha usando spoofing de client_id como mecanismo principal de validação, e não como complemento de phishing ou device code, como nas matérias de 12 de março e 4 de junho de 2026.

Por que isso importa

Empresas que confiam em logs de sign-in do Entra ID como fonte primária de detecção de credential stuffing ou password spraying estão cegas a esse tipo de ataque. Não há lockout sistemático (só 28% dos alvos foram bloqueados), não há MFA bypass óbvio, e não há aplicativo suspeito listado nos relatórios. O risco real está na cadeia de consequências: contas validadas pelo UNK_pyreq2323 viram porta de entrada para ataques de BEC, exfiltração via SharePoint ou comprometimento de pipelines CI/CD, justamente os cenários descritos nas análises anteriores da CEVIU sobre living off the cloud e ataques ao Salesforce. Isso não é teoria: já afetou milhares de clientes e milhões de usuários.

Linha do tempo

  1. CEVIU reporta campanha de phishing por código de dispositivo OAuth 2.0, explorando Cloudflare Workers para imitar serviços legítimos

  2. CEVIU detalha escalada de ataques de phishing por device code em incidentes de Business Email Compromise

  3. CEVIU divulga ataque massivo de password spray ao Azure CLI com 81 milhões de tentativas e falhas de MFA em 64 organizações

  4. CEVIU publica análise do UNK_pyreq2323, primeira campanha documentada que usa spoofing de client_id OAuth para validação furtiva de credenciais no Microsoft Entra ID

Perguntas frequentes

O que é exatamente o UNK_pyreq2323?

É uma campanha de ataque cibernético identificada pela Proofpoint entre janeiro e março de 2026. Não é uma ferramenta ou malware, mas uma operação coordenada que explora o fluxo ROPC do OAuth 2.0 no Microsoft Entra ID, usando IDs de cliente falsificados para validar credenciais sem gerar eventos de login bem-sucedidos.

Por que o fluxo ROPC é tão perigoso nesse contexto?

Porque o ROPC envia usuário e senha diretamente no corpo da requisição HTTP, sem envolvimento de navegador ou MFA. A Microsoft o desaconselha desde 2021. No UNK_pyreq2323, ele é usado como canal para extração silenciosa de informações via códigos de erro AADSTS, transformando um fluxo legado em máquina de validação de credenciais.

Como detectar isso se os logs não mostram o nome do aplicativo?

Busque por entradas de sign-in com 'client_id' preenchido mas 'application name' vazio ou ausente. Correlacione com volumes anormais de erros AADSTS700016 ou AADSTS50034 em curtos períodos. Também monitore requisições POST para /token do Microsoft Identity Platform com client_ids que não correspondem a apps registrados no seu tenant.

A Microsoft já corrigiu essa falha?

Não houve correção funcional relatada até 15 de julho de 2026. A empresa priorizou mitigação via atualizações de política: reforço de Acesso Condicional para bloquear ROPC em cenários sensíveis e desativação progressiva do fluxo em novos tenants. Mas sistemas legados ainda o permitem, e o UNK_pyreq2323 prova que ele continua operacional.

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU Segurança da Informação
Publicado
16 de julho de 2026
Editoria
CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?

Conteúdo curado diariamente, direto no seu e-mail.

Conteúdo curado diariamenteDiversas categoriasCancele quando quiser