Spoofing OAuth Client ID: Cara Baru Pembobolan Kredensial Microsoft Entra

Jul 14, 2026 - 18:54
 0  3
Spoofing OAuth Client ID: Cara Baru Pembobolan Kredensial Microsoft Entra

Teknik spoofing OAuth client ID kini menjadi senjata utama setidaknya dua kelompok penyerang dalam kampanye serangan cloud yang menargetkan lingkungan Microsoft Entra ID. Metode ini memungkinkan mereka untuk melakukan enumerasi akun pengguna dan memvalidasi kredensial curian tanpa menghasilkan peristiwa login yang sukses, sehingga menghindari deteksi oleh sistem keamanan.

Ad
Ad

Menurut pernyataan dari Proofpoint, "Terdapat blind spot dalam telemetri sign-in cloud, di mana Entra ID mengembalikan respons kesalahan berbeda tergantung validitas OAuth client ID yang disuplai. Penyerang memanfaatkan celah ini untuk mengidentifikasi nama pengguna dan password yang benar secara massal, sehingga dapat memeriksa daftar kredensial curian tanpa mencatat login yang berhasil."

Bagaimana Spoofing OAuth Client ID Bekerja?

OAuth client ID adalah pengenal unik global (GUID) yang diberikan kepada aplikasi saat meminta akses data pengguna, dikirim sebagai parameter "client_id" dalam permintaan autentikasi. Dengan menyuplai client_id yang dipalsukan, penyerang dapat melakukan enumerasi akun tanpa perlu aplikasi OAuth terdaftar dan menguji validitas password serta akun tanpa memicu login sukses.

Rachel Rabin, peneliti dari Proofpoint, menjelaskan, "Log sign-in Entra adalah sumber telemetri utama untuk mengidentifikasi aktivitas autentikasi berbahaya seperti enumerasi pengguna, password spraying, dan upaya akses awal. Namun, spoofing client ID menghasilkan log tanpa nama aplikasi yang terkait, sehingga sulit dideteksi."

Modus Operandi dan Dampak Serangan

  • Penggunaan HTTP POST ke endpoint token OAuth 2.0 dengan alur Resource Owner Password Credentials (ROPC).
  • Client ID valid secara sintaksis namun tidak terkait dengan aplikasi nyata.
  • Log sign-in hanya mencatat ID aplikasi tanpa nama aplikasi, membuat deteksi tradisional gagal.
  • Respon error yang diberikan memungkinkan penyerang menebak keberadaan akun dan validitas password.

Jika client ID palsu bukan UUIDv4 yang benar, Entra tidak langsung menolak permintaan. Hal ini memungkinkan penyerang menganalisis kode error untuk mengidentifikasi akun dan password yang valid, walau menggunakan ID yang salah format.

Kampanye Penyerangan Terbesar dan Pola Serangan

Proofpoint telah mengidentifikasi dua kampanye besar yang mengadopsi teknik ini sejak akhir Desember 2025:

  1. UNK_pyreq2323 (Januari-Maret 2026): Menggunakan lebih dari 700.000 client ID palsu dari infrastruktur Amazon Web Services (AWS) untuk menyerang lebih dari 1 juta akun di hampir 4.000 tenant, menyebabkan sekitar 28% pengguna terkunci akibat upaya gagal.
  2. UNK_OutFlareAZ (Mulai Desember 2025): Memanfaatkan infrastruktur Cloudflare untuk menargetkan lebih dari 2 juta pengguna dengan 3,7 juta client ID palsu yang diacak.

Kedua kampanye ini menggunakan UUID valid dan menunjukkan pola penggunaan daftar nama pengguna yang telah dipersiapkan sebelumnya. UNK_OutFlareAZ melakukan enumerasi secara alfabetis, sementara UNK_pyreq2323 tidak. Dalam spoofing client ID, UNK_pyreq2323 memodifikasi digit akhir dari ID aplikasi yang dikenal dan menggunakan ulang ID tersebut hingga 12 pengguna, sedangkan UNK_OutFlareAZ membuat ID unik untuk tiap permintaan.

Menurut Proofpoint, "Dengan memecah upaya autentikasi ke banyak aplikasi fiksi, aktivitas menjadi sulit dikorelasikan dan dapat menghindari deteksi berbasis aplikasi serta pembatasan laju. Organisasi yang menggunakan kebijakan Conditional Access berdasarkan aplikasi tertentu mungkin gagal mendeteksi serangan dengan client ID palsu."

Analisis Redaksi

Menurut pandangan redaksi, teknik spoofing OAuth client ID ini merupakan game-changer dalam modus operandi serangan terhadap layanan cloud modern, khususnya Microsoft Entra ID. Dengan mengelabui sistem keamanan yang bergantung pada log sign-in aplikasi, penyerang dapat melakukan kegiatan enumerasi dan validasi password secara masif tanpa terdeteksi, meningkatkan risiko pelanggaran data dan akses tidak sah.

Fenomena ini menunjukkan pentingnya pengembangan metode deteksi yang lebih canggih, termasuk pemantauan pola anomali di tingkat autentikasi dan penguatan kebijakan keamanan berbasis perilaku. Selain itu, organisasi harus memperhatikan potensi celah dalam penerapan Conditional Access yang terlalu terpaku pada aplikasi dikenal, dan mengadopsi pendekatan keamanan berlapis.

Ke depan, penting untuk terus mengikuti perkembangan teknik serangan seperti ini dan melakukan pembaruan pada sistem keamanan cloud. Kerja sama antara vendor keamanan, penyedia layanan cloud, dan pengguna harus diperkuat agar serangan serupa dapat diantisipasi dan ditanggulangi secara efektif.

Untuk informasi lebih lengkap mengenai teknik ini, Anda dapat membaca laporan asli di The Hacker News serta berita terkait di Kompas.

What's Your Reaction?

Like Like 0
Dislike Dislike 0
Love Love 0
Funny Funny 0
Angry Angry 0
Sad Sad 0
Wow Wow 0
admin As a passionate news reporter, I am fueled by an insatiable curiosity and an unwavering commitment to truth. With a keen eye for detail and a relentless pursuit of stories, I strive to deliver timely and accurate information that empowers and engages readers.
Ad
Ad