Met OAuth Client ID Spoofing kunnen aanvallers gestolen Microsoft Entra-referenties valideren

Ten minste twee verschillende dreigingsactoren maken gebruik van een nieuwe ontwijkingstechniek, genaamd OAuth-client-ID-spoofing in cloudcampagnes, terwijl ze voorbij telemetrie glippen.

Met deze activiteit kunnen gebruikers gebruikersaccounts inventariseren en gestolen inloggegevens valideren in Microsoft Entra ID-omgevingen, zonder ooit een succesvolle aanmeldingsgebeurtenis te genereren die anders verdedigers zou waarschuwen. En slechte actoren zijn deze kloof gaan uitbuiten om ongeoorloofde toegang tot de clouddiensten van een organisatie te verkrijgen.

“Een blinde vlek in telemetrie bij inloggen in de cloud: Entra ID retourneert verschillende foutreacties, afhankelijk van of een opgegeven OAuth-client-ID geldig is”, aldus Proofpoint in een verklaring. “Aanvallers maken hier misbruik van om geldige gebruikersnamen en correcte wachtwoorden op grote schaal af te leiden, waardoor ze effectief de lijsten met gestolen inloggegevens kunnen controleren zonder een succesvolle login te registreren.”

Met andere woorden: de aanvallen maken gebruik van de OAuth-client-ID, een Globally Unique Identifier (GUID) die aan applicaties wordt toegewezen bij het aanvragen van toegang tot gebruikersgegevens, en die wordt doorgegeven als ‘client_id’ in authenticatieverzoeken. Door vervalste client-ID’s aan te bieden, wordt accountopsomming mogelijk gemaakt zonder een geregistreerde OAuth-applicatie en kunnen aanvallers zowel de geldigheid van het wachtwoord als de account afleiden zonder een succesvolle aanmeldingsgebeurtenis te genereren.

“De aanmeldingslogboeken van Entra zijn een primaire telemetriebron voor het identificeren van kwaadaardige authenticatieactiviteiten, waaronder het opsommen van gebruikers, het verspreiden van wachtwoorden en initiële toegangspogingen”, aldus Proofpoint-onderzoeker Rachel Rabin.

Er is waargenomen dat bedreigingsclusters zoals UNK_CustomCloak User-Agent-strings spoofen om brute-force-campagnes te orkestreren die gericht zijn op Microsoft Entra ID-omgevingen door misbruik te maken van een verouderde, stopgezette first-party applicatie genaamd Windows Live Custom Domains om standaard aanmeldingsbeperkingen te omzeilen en gebruikerswachtwoorden in meer dan 4.000 tenants te onderzoeken.

Maar de laatste inspanningen markeren een evolutie van dit vak door de OAuth-client-ID’s te vervalsen via HTTP POST-verzoeken naar het OAuth 2.0-tokeneindpunt van Microsoft met behulp van de Resource Owner Password Credentials (ROPC)-stroom. Concreet gaat het hierbij om het opgeven van een syntactisch geldige client-ID, maar een die niet overeenkomt met een echte applicatie.

In dergelijke scenario’s wordt alleen de applicatie-ID vastgelegd in het Entra-aanmeldingslogboek zonder een bijbehorende applicatienaam. Het antwoord, dat een Azure Active Directory Security Token Service (AADSTS)-foutcode bevat, kan vervolgens worden gebruikt om af te leiden of het account bestaat en of het wachtwoord correct is zonder een geregistreerde toepassing.

“Als de vervalste client-ID geen echte UUIDv4 is, wijst Entra het verzoek niet regelrecht af”, legt Proofpoint uit. “Aanvallers kunnen deze foutreactie daarom analyseren om geldige accounts en wachtwoorden te identificeren, ondanks het gebruik van verkeerd opgemaakte client-ID’s.”

“Wanneer een vervalste client-ID wordt gebruikt, wordt er geen overeenkomstige applicatienaam vastgelegd in het aanmeldingslogboek. Dit betekent dat detecties die op zoek zijn naar pieken tegen een specifieke applicatienaam deze activiteit volledig kunnen missen, omdat het veld leeg is.”

Gewapend met deze informatie kunnen aanvallers accounts identificeren die kunnen worden misbruikt voor heimelijke toegang, terwijl het tegelijkertijd voor verdedigers een uitdaging wordt om verdachte activiteiten te identificeren.

Proofpoint zei dat het twee grote campagnes heeft geïdentificeerd die de techniek eind december 2025 onafhankelijk hebben overgenomen, wat aangeeft dat de aanpak steeds meer wordt opgenomen in het vak van aanvallers, in plaats van dat het een geïsoleerd incident is:

  • UNK_pyreq2323 (van januari tot maart 2026), waarbij meer dan 700.000 vervalste client-ID’s van de Amazon Web Services (AWS)-infrastructuur werden gebruikt om meer dan 1 miljoen accounts in bijna 4.000 tenants te targeten, waardoor ongeveer 28% van de beoogde gebruikers werd uitgesloten vanwege mislukte pogingen.
  • UNK_OutFlareAZ (vanaf december 2025), waarbij gebruik werd gemaakt van de Cloudflare-infrastructuur om meer dan 2 miljoen gebruikers te targeten met 3,7 miljoen willekeurige vervalste applicatie-ID’s.

Bij beide campagnes is geobserveerd dat er gebruik wordt gemaakt van geldige UUID’s in plaats van verkeerd opgemaakte identificatiegegevens, en ze laten patronen zien die overeenkomen met vooraf samengestelde woordenlijsten voor gebruikersnamen. Dat gezegd hebbende, terwijl UNK_OutFlareAZ gebruikers alfabetisch opsomde, deed UNK_pyreq2323 dat niet. Een ander aspect waarin ze van mening verschilden, was de manier waarop de client-ID’s werden vervalst.

UNK_pyreq2323 zou de laatste cijfers van een bekende applicatie-ID hebben gewijzigd en vervolgens vervalste ID’s voor maximaal twaalf gebruikers hebben hergebruikt. UNK_OutFlareAZ genereerde daarentegen een unieke client-ID per verzoek.

“Door authenticatiepogingen over veel fictieve applicaties te fragmenteren, wordt activiteit moeilijker te correleren en kunnen detecties per applicatie en snelheidsbeperkingen worden omzeild”, aldus Proofpoint. “Organisaties kunnen proberen traditionele opsommingsaanvallen te beperken door beleid voor voorwaardelijke toegang toe te passen dat zich richt op applicaties die vaak gericht zijn op opsomming. Vervalste client-ID’s activeren geen CA-beleid dat is gericht op een specifieke applicatie.”

Hoewel het probleem van OAuth-client-ID-spoofing specifiek is voor Microsoft, vertelde Yaniv Miron, directeur bedreigingsonderzoek bij Proofpoint, aan The Hacker News dat “we geloven dat andere identiteitsproviders mogelijk aan dergelijke problemen worden blootgesteld.”

“Spoofing is over het algemeen al jaren een bekende methode; tegenstanders zullen proberen alles te spoofen wat ze kunnen (meestal verschillende velden), inclusief client-ID,” voegde Miron eraan toe. “Tegenstanders houden voortdurend de blogs en publicaties van dreigingsonderzoekers in de gaten, dus we denken dat ze publiek onderzoek naar hun aanvallen overnemen.”

(Het verhaal is na publicatie bijgewerkt met een reactie van Proofpoint.)

Thijs Van der Does