Kỹ thuật ‘OAuth Client ID Spoofing’ mới: Mối đe dọa tiềm ẩn cho Microsoft Entra ID
Các nhóm tấn công đang khai thác lỗ hổng trong cơ chế xác thực OAuth để kiểm chứng thông tin đăng nhập bị đánh cắp mà không để lại dấu vết trong nhật ký đăng nhập thành...
Các chuyên gia bảo mật vừa cảnh báo về một kỹ thuật tấn công mới có tên là OAuth client ID spoofing. Kỹ thuật này cho phép kẻ tấn công kiểm chứng tính hợp lệ của các tài khoản và mật khẩu bị đánh cắp trong môi trường Microsoft Entra ID mà không cần thực hiện một phiên đăng nhập thành công, từ đó vượt qua các hệ thống giám sát thông thường.
Table Of Content
Cơ chế tấn công
Trong các yêu cầu xác thực, client_id là một định danh duy nhất (GUID) được sử dụng để xác định ứng dụng yêu cầu quyền truy cập. Bằng cách cung cấp các client_id giả mạo, kẻ tấn công có thể thực hiện liệt kê tài khoản (account enumeration) và kiểm tra mật khẩu mà không cần đăng ký ứng dụng OAuth hợp lệ.
Điểm mấu chốt nằm ở cách Microsoft Entra phản hồi các yêu cầu này. Khi một client_id không tồn tại được gửi đến, hệ thống trả về các mã lỗi cụ thể (AADSTS). Kẻ tấn công phân tích các mã lỗi này để xác định xem tài khoản có tồn tại và mật khẩu có chính xác hay không. Vì không có phiên đăng nhập thành công nào được ghi lại, các hệ thống phát hiện dựa trên nhật ký (log) thông thường thường bỏ qua hoạt động này.
Sự phát triển của các chiến dịch tấn công
Proofpoint đã ghi nhận ít nhất hai nhóm tấn công quy mô lớn sử dụng kỹ thuật này từ cuối năm 2025:
- UNK_pyreq2323: Sử dụng hạ tầng AWS để nhắm mục tiêu vào hơn 1 triệu tài khoản trên gần 4.000 tenant, gây ra tình trạng khóa tài khoản hàng loạt.
- UNK_OutFlareAZ: Tận dụng hạ tầng Cloudflare để nhắm mục tiêu vào hơn 2 triệu người dùng với hàng triệu ID ứng dụng giả mạo.
Điểm đáng chú ý là các chiến dịch này thường xuyên thay đổi client_id hoặc phân mảnh các yêu cầu xác thực qua nhiều ứng dụng giả mạo khác nhau. Điều này giúp kẻ tấn công tránh được các cơ chế giới hạn tốc độ (rate limiting) và các chính sách Truy cập có điều kiện (Conditional Access) vốn thường được thiết lập dựa trên các ứng dụng cụ thể.
Khuyến nghị cho quản trị viên
Việc sử dụng client_id giả mạo khiến trường tên ứng dụng trong nhật ký đăng nhập bị bỏ trống, gây khó khăn cho việc phát hiện bằng các quy tắc dựa trên tên ứng dụng. Các tổ chức cần rà soát lại các mẫu nhật ký bất thường, đặc biệt là các yêu cầu xác thực có mã lỗi AADSTS liên tục từ các nguồn không xác định, thay vì chỉ tập trung vào các sự kiện đăng nhập thành công.
Nguồn tham khảo: The Hacker News



No Comment! Be the first one.