Pesquisadores da Proofpoint identificaram uma nova técnica de evasão chamada spoofing de OAuth client ID, utilizada por grupos de ameaças para comprometer ambientes do Microsoft Entra ID. Essa técnica permite que atacantes enumerem contas de usuários e validem credenciais roubadas sem gerar eventos de login bem-sucedidos, o que dificultaria a detecção por parte das equipes de segurança. Ao explorar a forma como o Entra ID responde a IDs de cliente inválidos, os atacantes conseguem inferir a validade de nomes de usuários e senhas em larga escala. Dois grupos distintos, UNK_pyreq2323 e UNK_OutFlareAZ, foram observados utilizando essa técnica, atacando milhões de contas em milhares de locatários. A primeira campanha usou mais de 700 mil IDs de cliente falsificados, enquanto a segunda empregou 3,7 milhões de IDs aleatórios. A falta de registros de nomes de aplicativos nos logs de sign-in do Entra torna a detecção dessas atividades ainda mais desafiadora. As organizações devem revisar suas políticas de acesso condicional, pois os IDs de cliente falsificados não acionam essas políticas, permitindo que os atacantes operem com maior discrição.
Fonte: https://thehackernews.com/2026/07/oauth-client-id-spoofing-lets-attackers.html
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
14/07/2026 • Risco: ALTO
ATAQUE
Técnica de Evasão em Campanhas na Nuvem: Spoofing de OAuth Client ID
RESUMO EXECUTIVO
As campanhas de spoofing de OAuth client ID representam uma nova abordagem de ataque que pode comprometer a segurança das organizações, especialmente aquelas que utilizam serviços da Microsoft. A falta de registros nos logs de sign-in dificulta a detecção, tornando essencial que as empresas revisem suas políticas de segurança e implementem medidas de mitigação.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis custos associados a bloqueios de contas e recuperação de dados.
Operacional
Bloqueios de contas para 28% dos usuários atacados devido a tentativas de login malsucedidas.
Setores vulneráveis
['Tecnologia', 'Serviços Financeiros', 'Saúde']
📊 INDICADORES CHAVE
Mais de 700.000 IDs de cliente falsificados utilizados na campanha UNK_pyreq2323.
Indicador
Mais de 1 milhão de contas atacadas na mesma campanha.
Contexto BR
3,7 milhões de IDs de aplicativo aleatórios utilizados na campanha UNK_OutFlareAZ.
Urgência
⚡ AÇÕES IMEDIATAS
1
Revisar logs de sign-in do Microsoft Entra ID em busca de atividades suspeitas.
2
Implementar políticas de acesso condicional que não dependam apenas de nomes de aplicativos.
3
Monitorar tentativas de login e padrões de acesso em tempo real.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com essa técnica de ataque, pois ela permite acesso não autorizado a serviços em nuvem sem gerar alertas, aumentando o risco de comprometimento de dados.
⚖️ COMPLIANCE
Implicações para a conformidade com a LGPD, especialmente em relação a dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).