Suplantación de ID de cliente OAuth permite a los atacantes validar credenciales robadas de Microsoft Entra
Resumen
Al menos dos actores de amenazas están utilizando una técnica de evasión llamada suplantación de ID de cliente OAuth en campañas en la nube, lo que les permite enumerar cuentas de usuario y validar credenciales robadas en entornos de Microsoft Entra ID sin generar un evento de inicio de sesión exitoso que alertaría a los defensores. Esta técnica permite a los atacantes validar credenciales sin ser detectados. La actividad es un ejemplo de cómo los atacantes están encontrando nuevas formas de evadir la detección en la nube.
At least two distinct threat actors are weaponizing a novel evasion technique called OAuth client ID spoofing in cloud campaigns, while slipping past telemetry. The activity allows users to enumerate user accounts and validate stolen credentials in Microsoft Entra ID environments, without ever generating a successful sign-in event that would otherwise alert defenders. And bad actors have begun