Wat als dreigingsactoren de accounts van een volledige organisatie konden opsommen zonder een enkele succesvolle login?
De aanmeldingslogboeken van Microsoft Entra vormen een belangrijke telemetriebron voor het opsporen van kwaadaardige authenticatieactiviteiten, waaronder het inventariseren van gebruikers, ‘password spraying’ en pogingen tot eerste toegang. Om detectie te omzeilen, verspreiden aanvallers hun verzoeken regelmatig via wisselende user agents (zoals te zien bij
UNK_CustomCloak) en proxyservices waarvan het bron-IP-adres per verzoek wisselt.
Onderzoekers van Proofpoint hebben meerdere campagnes ontdekt waarbij aanvallers deze ontwijkende techniek uitbreiden door de OAuth client-ID (applicatie-ID) te vervalsen, een globaal unieke identificatiecode (GUID) die aan applicaties wordt toegewezen. Deze identificatiecode wordt in authenticatieverzoeken doorgegeven als ‘client_id’ en in de aanmeldingslogboeken van Entra geregistreerd als de applicatie-ID.
Met vervalste client-ID’s kan een lijst van accounts worden opgesteld zonder dat er een geregistreerde OAuth-applicatie nodig is. Zo kunnen aanvallers zowel de geldigheid van het wachtwoord als de status van het account achterhalen zonder dat er een succesvolle aanmelding plaatsvindt.
Waarom vervalsen aanvallers de client-ID?
Wanneer een vervalste client-ID wordt gebruikt, wordt er geen bijbehorende applicatienaam vastgelegd in het aanmeldingslogboek. Dit betekent dat detecties die zoeken naar pieken bij een specifieke applicatienaam deze activiteit volledig kunnen missen, aangezien het veld leeg is.
Door dit waargenomen logboekgedrag kunnen niet-geauthenticeerde aanvallers gebruikers inventariseren en de geldigheid van wachtwoorden afleiden zonder dat er een succesvolle aanmelding plaatsvindt. Zelfs wanneer deze inventarisatie wordt gedetecteerd, realiseren securitybeheerders zich mogelijk niet dat er geldige inloggegevens zijn geïdentificeerd en kunnen ze gecompromitteerde inloggegevens volledig over het hoofd zien.
Traditionele enumeration tools richten zich op hardgecodeerde first party-applicaties. Meestal betreft dit CLI-tools zoals Azure AD PowerShell, die in alle tenants aanwezig zijn en in het verleden een zwakke plek vormden voor de handhaving van multi-factorauthenticatie (MFA). Een plotselinge toename van authenticatieverzoeken naar één enkele applicatie doet echter al snel alarmbellen rinkelen bij securityteams. Door authenticatiepogingen te verspreiden over vele fictieve applicaties, wordt het moeilijker om activiteiten met elkaar in verband te brengen en kunnen aanvallers deze detecties en snelheidsbeperkingen per applicatie omzeilen.
Organisaties kunnen traditionele enumeration-aanvallen proberen te beperken door Conditional Access-beleidsregels toe te passen die zijn gericht op applicaties die vaak het doelwit zijn van enumeration. Vervalste client-ID’s activeren geen CA-beleidsregels die zijn gericht op een specifieke applicatie.
Dit zijn de belangrijkste bevindingen uit het onderzoek:
- Proofpoint constateert dat het vervalsen van OAuth client-ID’s in opkomst is als een nieuwe techniek, die steeds vaker wordt ingezet bij cloudcampagnes.
- Microsoft Entra ID geeft verschillende reacties terug, afhankelijk van of een opgegeven OAuth client-ID geldig is en of deze overeenkomt met een geregistreerde applicatie.
- Dit gedrag maakt het mogelijk om accounts te inventariseren zonder dat er een geregistreerde OAuth-applicatie nodig is. Het stelt dreigingsactoren in staat om de geldigheid van wachtwoorden of de status van accounts af te leiden zonder dat er een succesvolle aanmelding plaatsvindt.
- Onderzoekers hebben meerdere grootschalige campagnes waargenomen waarbij misbruik wordt gemaakt van vervalste OAuth application identifiers. Hierbij wijzen de verschillende tools, infrastructuur en uitvoeringspatronen erop dat deze door meerdere cybercriminelen onafhankelijk van elkaar worden ingezet.
- Om soortgelijke activiteiten op te sporen, moeten securitybeheerders de aanmeldingslogboeken controleren op gebeurtenissen zonder applicatienaam, wat kan duiden op vervalste client-ID’s.
Door OAuth client-ID’s te vervalsen kunnen aanvallers op grote schaal accounts inventariseren en inloggegevens valideren, zonder dat er een succesvolle aanmelding in de logbestanden van Entra ID wordt geregistreerd. Het feit dat er meerdere campagnes zijn opgedoken met unieke tools en infrastructuur, wijst erop dat deze techniek populairder wordt onder cybercriminelen die het op cloudomgevingen hebben gemunt.
Naast het omzeilen van inlogtelemetrie bieden vervalste client-ID’s extra voordelen, zoals het verspreiden van aanvallen over fictieve applicaties. Ook het mogelijk omzeilen van detecties verderop in het proces, die afhankelijk zijn van het invullen van het veld voor de applicatienaam, is een voordeel voor dreigingsactoren.
Securitybeheerders moeten logboekvermeldingen van aanmeldingen met lege applicatie-ID’s, of zonder bijbehorende applicatienaam, beschouwen als mogelijke indicatoren van client-ID-spoofing. Ze moeten zich ervan bewust zijn dat een AADSTS700016-foutcode kan duiden op gecompromitteerde inloggegevens, en niet alleen op een mislukte aanmeldingspoging.
Klik
hier om het volledige onderzoek te lezen.