Investigadores de seguridad de Proofpoint han descubierto una nueva técnica de ataque. Esta técnica permite a los ciberdelincuentes eludir la detección al atacar cuentas de Microsoft Entra ID (anteriormente Azure Active Directory). Este método explota cómo el sistema registra los ID de aplicación desconocidos, permitiendo a los atacantes la suplantación de ID en OAuth sin generar eventos de inicio de sesión exitosos en los logs tradicionales.

Detalles Técnicos del Ataque de Suplantación de ID en OAuth
La vulnerabilidad reside en el flujo OAuth 2.0, específicamente en el flujo de concesión de contraseñas de propietario de recursos (ROPC). Al manipular el ID de cliente, los atacantes pueden realizar una suplantación ID cliente OAuth para mapear el entorno de una organización.
Este fallo permite realizar un barrido de cuentas para determinar cuáles existen y, en algunos casos, probar combinaciones de contraseñas. Lo crítico es que el sistema de Entra ID registra estos intentos como «error de autenticación» o «ID de aplicación desconocida» de una manera que no siempre activa las alertas de seguridad estándar, lo que hace que la suplantación ID cliente OAuth sea una técnica de reconocimiento sigilosa.
Implicaciones de la Suplantación de ID de Cliente para la Seguridad
El principal riesgo de esta técnica de suplantación ID cliente OAuth es que puede ser el preludio de ataques de phishing o fuerza bruta más sofisticados. Al tener un mapa de usuarios válidos, el atacante puede personalizar sus campañas de ataque, aumentando su efectividad.
La suplantación ID cliente OAuth es posible debido a la forma en que se registran los intentos fallidos. Esta técnica subraya la necesidad de monitorear no solo los inicios de sesión exitosos, sino también los patrones de error en los logs de autenticación. Deben buscarse anomalías como un gran volumen de intentos fallidos desde una misma IP o con IDs de cliente sospechosos.
Cómo Mitigar el Riesgo de Suplantación de ID en OAuth
Para defenderse de este tipo de ataques, los administradores de Microsoft Entra ID deben:
- Auditar los logs de inicio de sesión. Buscar picos de errores de autenticación con IDs de cliente no reconocidos.
- Configurar políticas de acceso condicional que restrinjan el uso del flujo ROPC si no es estrictamente necesario. ESto es considerado un legado y menos seguro.
- Implementar autenticación sin contraseña que son inmunes a este tipo de ataques de reconocimiento. Ejemplos de esto son FIDO2 o Windows Hello for Business.
- Utilizar herramientas de SIEM que puedan correlacionar estos eventos y generar alertas tempranas.
Mira esta nota, para dimensionar la magnitud de este tipo de riesgo
