OAuth client ID spoofing in Entra ID: an attack that conceals credential validation

OAuth client ID spoofing u Entra ID: napad koji prikriva proveru ukradenih kredencijala
Kolege, želim da skrenem pažnju na važnu temu iz oblasti sajber bezbednosti.
Uočio sam da napadači koriste zamenu OAuth client ID-ja u Microsoft Entra ID-u kako bi proveravali ukradene prijave i lozinke bez uspešne prijave.
Suština je da Entra vraća različite greške u zavisnosti od client_id. Prema AADSTS odgovoru, napadači mogu da utvrde da li nalog postoji i da li je lozinka ispravna.
Pri tome u logovima možda nema naziva aplikacije, pa deo detekcija i provera kroz sign-in događaje jednostavno ne radi.
Zašto je ovo važno: ovakav pristup otežava otkrivanje brute-force napada i pomaže napadačima da zaobiđu uobičajene mehanizme zaštite.
Kako Vi smatrate, jesu li Vaša pravila nadzora spremna za ovakav scenario?
#sajberbezbednost #MicrosoftEntra #CloudSecurity #IdentitySecurity


Latest comments
No comments yet.