ProgressCommunications.euwww.marcommit.nlwww.deepr.nl
INFLUX PRwww.deepr.nlProgressCommunications.eu

Volg ook via:
Datum: (1 dag geleden)
Bedrijf:
PR: AxiCom

Vervalsing van OAuth client-ID’s

Waarom valse client-ID’s steeds vaker worden gebruikt voor verborgen enumeration

Wat als dreigingsactoren de accounts van een volledige organisatie konden opsommen zonder een enkele succesvolle login?
De aanmeldingslogboeken van Microsoft Entra vormen een belangrijke telemetriebron voor het opsporen van kwaadaardige authenticatieactiviteiten, waaronder het inventariseren van gebruikers, ‘password spraying’ en pogingen tot eerste toegang. Om detectie te omzeilen, verspreiden aanvallers hun verzoeken regelmatig via wisselende user agents (zoals te zien bij UNK_CustomCloak) en proxyservices waarvan het bron-IP-adres per verzoek wisselt.

Onderzoekers van Proofpoint hebben meerdere campagnes ontdekt waarbij aanvallers deze ontwijkende techniek uitbreiden door de OAuth client-ID (applicatie-ID) te vervalsen, een globaal unieke identificatiecode (GUID) die aan applicaties wordt toegewezen. Deze identificatiecode wordt in authenticatieverzoeken doorgegeven als ‘client_id’ en in de aanmeldingslogboeken van Entra geregistreerd als de applicatie-ID.

Met vervalste client-ID’s kan een lijst van accounts worden opgesteld zonder dat er een geregistreerde OAuth-applicatie nodig is. Zo kunnen aanvallers zowel de geldigheid van het wachtwoord als de status van het account achterhalen zonder dat er een succesvolle aanmelding plaatsvindt.

Waarom vervalsen aanvallers de client-ID?
Wanneer een vervalste client-ID wordt gebruikt, wordt er geen bijbehorende applicatienaam vastgelegd in het aanmeldingslogboek. Dit betekent dat detecties die zoeken naar pieken bij een specifieke applicatienaam deze activiteit volledig kunnen missen, aangezien het veld leeg is.

Door dit waargenomen logboekgedrag kunnen niet-geauthenticeerde aanvallers gebruikers inventariseren en de geldigheid van wachtwoorden afleiden zonder dat er een succesvolle aanmelding plaatsvindt. Zelfs wanneer deze inventarisatie wordt gedetecteerd, realiseren securitybeheerders zich mogelijk niet dat er geldige inloggegevens zijn geïdentificeerd en kunnen ze gecompromitteerde inloggegevens volledig over het hoofd zien.

Traditionele enumeration tools richten zich op hardgecodeerde first party-applicaties. Meestal betreft dit CLI-tools zoals Azure AD PowerShell, die in alle tenants aanwezig zijn en in het verleden een zwakke plek vormden voor de handhaving van multi-factorauthenticatie (MFA). Een plotselinge toename van authenticatieverzoeken naar één enkele applicatie doet echter al snel alarmbellen rinkelen bij securityteams. Door authenticatiepogingen te verspreiden over vele fictieve applicaties, wordt het moeilijker om activiteiten met elkaar in verband te brengen en kunnen aanvallers deze detecties en snelheidsbeperkingen per applicatie omzeilen.

Organisaties kunnen traditionele enumeration-aanvallen proberen te beperken door Conditional Access-beleidsregels toe te passen die zijn gericht op applicaties die vaak het doelwit zijn van enumeration. Vervalste client-ID’s activeren geen CA-beleidsregels die zijn gericht op een specifieke applicatie.

Dit zijn de belangrijkste bevindingen uit het onderzoek:
  • Proofpoint constateert dat het vervalsen van OAuth client-ID’s in opkomst is als een nieuwe techniek, die steeds vaker wordt ingezet bij cloudcampagnes.
  • Microsoft Entra ID geeft verschillende reacties terug, afhankelijk van of een opgegeven OAuth client-ID geldig is en of deze overeenkomt met een geregistreerde applicatie.
  • Dit gedrag maakt het mogelijk om accounts te inventariseren zonder dat er een geregistreerde OAuth-applicatie nodig is. Het stelt dreigingsactoren in staat om de geldigheid van wachtwoorden of de status van accounts af te leiden zonder dat er een succesvolle aanmelding plaatsvindt.
  • Onderzoekers hebben meerdere grootschalige campagnes waargenomen waarbij misbruik wordt gemaakt van vervalste OAuth application identifiers. Hierbij wijzen de verschillende tools, infrastructuur en uitvoeringspatronen erop dat deze door meerdere cybercriminelen onafhankelijk van elkaar worden ingezet.
  • Om soortgelijke activiteiten op te sporen, moeten securitybeheerders de aanmeldingslogboeken controleren op gebeurtenissen zonder applicatienaam, wat kan duiden op vervalste client-ID’s.
Door OAuth client-ID’s te vervalsen kunnen aanvallers op grote schaal accounts inventariseren en inloggegevens valideren, zonder dat er een succesvolle aanmelding in de logbestanden van Entra ID wordt geregistreerd. Het feit dat er meerdere campagnes zijn opgedoken met unieke tools en infrastructuur, wijst erop dat deze techniek populairder wordt onder cybercriminelen die het op cloudomgevingen hebben gemunt.

Naast het omzeilen van inlogtelemetrie bieden vervalste client-ID’s extra voordelen, zoals het verspreiden van aanvallen over fictieve applicaties. Ook het mogelijk omzeilen van detecties verderop in het proces, die afhankelijk zijn van het invullen van het veld voor de applicatienaam, is een voordeel voor dreigingsactoren.

Securitybeheerders moeten logboekvermeldingen van aanmeldingen met lege applicatie-ID’s, of zonder bijbehorende applicatienaam, beschouwen als mogelijke indicatoren van client-ID-spoofing. Ze moeten zich ervan bewust zijn dat een AADSTS700016-foutcode kan duiden op gecompromitteerde inloggegevens, en niet alleen op een mislukte aanmeldingspoging.

Klik hier om het volledige onderzoek te lezen. 
Recent van Proofpoint  
Vervalsing van OAuth client-ID’s

Chinese dreigingsgroep richt zich op faculteiten van grote Noord-Amerikaanse universiteiten

TA4922: de vermoedelijke Chinese criminele organisatie breidt zich wereldwijd uit

Verstreken tijd: 1 dag
PR contact  

Logo AxiCom
Proofpoint contact  


Marcommit is hét full service B2B marketing bureau van Nederland! Wij helpen jouw bedrijf met offline en online marketing campagnes die écht werken.
 Spotlight  
Logo Productowner.nl
Logo ZAMKO
Logo Innvolve
Logo ClickPatrol
Logo NetRom Software
Logo RAVI RYAN MOHANLAL
Logo BTG
Logo NHA Opleidingen
Logo Polly.Help
Logo MI Consultancy
Logo Incentro
Logo Stromma Nederland
Logo Fairbanks
Logo Valid
Logo Westpoort
Logo DNA Services B.V.
Logo PQR
Logo Web Wings
Logo Spryng
Logo We talk SEO B.V.
Logo Victoria ID
Logo DNA Services B.V.
Logo Twenty Four Webvertising
Logo Web Wings
Logo Web Wings
Logo BusinessCom
Logo Msafe
Logo SCOS ViaCloud BV
Logo Keuze.nl BV
Logo Spryng
Logo Unit4
Logo reichelt elektronik
Logo Conclusion
Logo Schneider Electric
Logo Proofpoint
Logo PQR
Logo KnowBe4
Logo Web Wings
Logo Schneider Electric
Logo Learned
Logo Red Hat
Logo Veeam Software
Logo KnowBe4
Logo HeadFirst Group
Logo Deel
TARIEVEN
Publicatie eenmalig €49

PUBLICATIEBUNDELS
6 voor €199
12 voor €349
Onbeperkt €499

EENMALIG PLAATSEN
Persbericht aanleveren

REGELMATIG PLAATSEN
Bedrijfsabonnement
CONTACT
Persberichten.com
JMInternet
Kuyperstraat 48
7942 BR Meppel
Nederland
info@persberichten.com
KvK 54178096

VOLGEN
@ICTBERICHTEN

ZOEKEN
IT bedrijf
IT PR-bureau
OVER ONS
Persberichten.com, hét platform voor IT/Tech persberichten

DATABASE
103930 persberichten
7050 bedrijfsprofielen
60 PR-bureauprofielen
17593 tags

KENMERKEN
• Behouden tekstopmaak
• Foto/illustratie/logo
• Downloadbare bijlages
• Profiel met socials
 
ProgressCommunications.euwww.marcommit.nlwww.whizpr.nl
www.deepr.nlwww.whizpr.nlwww.whizpr.nl