
Proofpoint Threat Research mengungkap sebuah teknik serangan baru yang sangat efektif dan sulit dideteksi terhadap Microsoft Entra ID, yang sebelumnya dikenal sebagai Azure Active Directory. Teknik ini disebut OAuth Client ID Spoofing, dan memungkinkan penyerang untuk melakukan enumerasi akun dan password spraying terhadap tenant Entra ID tanpa menghasilkan satu pun sign-in event di Azure Monitor atau Entra sign-in log. Dalam dunia keamanan cloud, ini merupakan terobosan signifikan karena selama ini, password spraying dan brute force selalu meninggalkan jejak berupa sign-in failure events yang bisa dideteksi oleh Security Operations Center (SOC) dan automated alerting systems.
Mekanisme inti dari teknik ini memanfaatkan bagaimana Microsoft Entra ID memproses request OAuth dan memberikan error response yang berbeda berdasarkan validitas parameter client_id yang dikirim oleh aplikasi. Dalam flux OAuth normal, client_id adalah identifier yang diberikan oleh Azure kepada aplikasi yang terdaftar. Namun, Proofpoint menemukan bahwa Entra ID akan memproses request bahkan dengan client_id yang tidak valid atau palsu, dan yang lebih kritis, Entra ID mengembalikan error code yang berbeda berdasarkan kombinasi validitas username dan password yang dikirim bersama client_id palsu tersebut. Perbedaan error code inilah yang memungkinkan penyerang untuk mengeksekusi enumerasi akun dan credential testing tanpa perlu melakukan sign-in yang terekam.
Tiga error code kunci menjadi indikator utama dalam teknik ini. AADSTS50034 dikembalikan ketika username yang dimasukkan tidak valid atau tidak terdaftar di tenant target, yang secara efektif memungkinkan penyerang memvalidasi keberadaan akun. AADSTS50126 dikembalikan ketika username valid namun password yang dimasukkan salah, memberikan konfirmasi bahwa akun tersebut ada dan penyerang hanya perlu menemukan password yang benar. AADSTS700016 dikembalikan ketika kombinasi username dan password keduanya valid, menandakan kompromi berhasil. Perbedaan error response ini memungkinkan penyerang untuk melakukan password spraying dalam skala besar sambil memfilter akun yang valid terlebih dahulu, meningkatkan efisiensi serangan secara dramatis dibandingkan brute force konvensional.
Dua Kampanye Serangan Skala Besar
Proofpoint mengidentifikasi dua kampanye serangan aktif yang memanfaatkan teknik OAuth Client ID Spoofing ini. Kampanye pertama, dilabeli sebagai UNK_pyreq2323, beroperasi dari bulan Januari hingga Maret 2026. Kampanye ini menggunakan infrastruktur berbasis AWS dan melakukan serangan terhadap lebih dari 1 juta akun di sekitar 4.000 tenant Microsoft Entra ID yang berbeda. Total spoofed client ID yang digunakan dalam kampanye ini mencapai 700.000 ID. Yang menarik dari pendekatan UNK_pyreq2323 adalah teknik yang digunakan untuk membuat client ID palsu: kampanye ini mengambil application ID resmi dari Exchange Online dan memodifikasi enam digit terakhirnya untuk menghasilkan client ID yang berbeda namun tetap memiliki kemiripan struktural dengan aplikasi Microsoft yang sah. Pendekatan ini mungkin dirancang untuk menghindari deteksi berbasis anomali karena struktur client ID masih terlihat mirip dengan application ID yang dikenal.
Kampanye kedua, dilabeli sebagai UNK_OutFlareAZ, beroperasi dari Desember 2025 hingga Maret 2026 dengan skala yang jauh lebih besar. Kampanye ini menggunakan infrastruktur berbasis Cloudflare dan menarget lebih dari 2 juta pengguna di berbagai tenant. Total spoofed client ID yang digunakan mencapai angka yang mengesankan, yaitu 3,7 juta ID, hampir lima kali lipat dari kampanye UNK_pyreq2323. Pendekatan UNK_OutFlareAZ dalam menghasilkan client ID palsu berbeda secara fundamental: alih-alih memodifikasi application ID yang ada, kampanye ini menghasilkan UUIDv4 yang sepenuhnya acak untuk setiap request. Pendekatan fully random ini menghasilkan client ID yang tidak memiliki kemiripan struktural dengan aplikasi Microsoft manapun, yang justru memberikan fleksibilitas lebih tinggi dan kemungkinan menghindari deteksi berbasis pola.
Alur serangan dalam kampanye UNK_pyreq2323 dimulai dengan penyerang yang mengumpulkan daftar target tenant Microsoft Entra ID, kemudian mengirimkan request OAuth secara massal dengan menggunakan Exchange Online application ID yang enam digit terakhirnya dimodifikasi. Setiap request dikirim ke endpoint autentikasi Entra ID dengan membawa credential akun target berupa username dan password yang sudah diperoleh sebelumnya dari kebocoran data atau pembelian di dark web. Error response yang dikembalikan oleh Entra ID kemudian dianalisis untuk menentukan apakah username valid, apakah password benar, atau apakah keduanya sudah compromise. Dengan memproses ratusan ribu request secara paralel, penyerang dapat mengidentifikasi ribuan akun valid dengan password yang benar dalam waktu singkat, semuanya tanpa meninggalkan satu pun jejak di sign-in log target.
Mengapa Conditional Access Tidak Dapat Memblokir Serangan Ini
Salah satu aspek paling mengkhawatirkan dari teknik OAuth Client ID Spoofing adalah ketidakmampuan Conditional Access policies untuk memblokir serangan ini. Conditional Access merupakan fitur keamanan utama Microsoft Entra ID yang memungkinkan administrator menetapkan aturan akses berdasarkan kondisi seperti lokasi, perangkat, risiko sign-in, dan aplikasi yang digunakan. Namun, karena client ID yang dikirim dalam serangan ini adalah palsu dan tidak terdaftar di tenant target, Conditional Access policies tidak dapat mengidentifikasi atau memblokir request berdasarkan application ID yang valid. Request yang masuk terlihat seperti OAuth request dari aplikasi yang tidak dikenal, yang mungkin bahkan tidak memicu alerting karena banyak tenant mengizinkan aplikasi pihak ketiga untuk melakukan autentikasi tanpa pembatasan ketat.
Ketidakmampuan Conditional Access ini menciptakan blind spot yang sangat kritis dalam pertahanan Entra ID. Sign-in logs, yang merupakan sumber utama data untuk investigasi keamanan dan deteksi anomali, sama sekali tidak mencatat aktivitas ini karena tidak ada sign-in event yang benar-benar terjadi di sisi Microsoft. Error responses yang dikembalikan oleh Entra ID dikirim langsung ke aplikasi client tanpa melewati pipeline logging sign-in, yang berarti SOC analyst tidak memiliki visibilitas terhadap aktivitas ini kecuali mereka secara aktif memantau traffic OAuth yang masuk dari sisi aplikasi atau melakukan analisis terhadap error logs pada aplikasi klien mereka sendiri.
Dari perspektif perbandingan dengan teknik serangan cloud lainnya, OAuth Client ID Spoofing memiliki keunggulan signifikan dari sisi operational security bagi penyerang. Teknik konvensional seperti password spraying menghasilkan volume sign-in failure yang tinggi dan mudah dideteksi oleh threshold-based alerting. Teknik token stuffing menghasilkan sign-in success events yang bisa dianalisis oleh UEBA (User and Entity Behavior Analytics). Namun, OAuth Client ID Spoofing dengan error code differentiation menghasilkan zero sign-in events, membuat seluruh pipeline deteksi berbasis sign-in log menjadi tidak berguna. Ini menjadikan teknik ini sebagai salah satu teknik serangan credential paling stealthy yang pernah didokumentasikan untuk platform Entra ID.
Selain itu, penggunaan infrastruktur cloud seperti AWS dan Cloudflare oleh kedua kampanye menunjukkan bahwa aktor ancaman memanfaatkan layanan cloud legitimate sebagai jubah untuk aktivitas malicious mereka. Traffic dari IP range AWS dan Cloudflare secara inheren dianggap lebih trusted oleh banyak sistem pertahanan, sehingga request OAuth yang dikirim dari infrastruktur ini memiliki kemungkinan lebih tinggi untuk lolos dari pemblokiran berbasis reputasi IP. Penggunaan layanan CDN seperti Cloudflare juga memberikan fleksilitas rotasi IP dan load balancing yang mempersulit upaya pemblokiran berbasis rate limiting atau IP blocking oleh target. Pola penggunaan infrastruktur cloud ini menjadi tren yang semakin umum dalam kampanye serangan berteknologi tinggi.
Analisa Retasan
Teknik OAuth Client ID Spoofing yang diungkap oleh Proofpoint merupakan evolusi signifikan dalam teknik password spraying dan account enumeration yang mengeksploitasi blind spot fundamental dalam arsitektur logging Microsoft Entra ID. Fakta bahwa dua kampanye aktif dengan total target lebih dari 3 juta akun dan 4.000 tenant sudah beroperasi selama beberapa bulan tanpa terdeteksi membuktikan bahwa teknik ini bukan sekadar teori melainkan ancaman yang sudah dimanfaatkan secara luas oleh aktor ancaman. Error response differentiation yang ditawarkan Entra ID, meskipun dirancang untuk membantu pengembang dalam debugging, secara tidak sengaja menciptakan primitive enumerasi yang sangat powerful bagi penyerang.
Dari sudut pandang deteksi, organisasi harus mulai berpikir melampaui dependensi pada sign-in logs sebagai satu-satunya sumber data untuk mendeteksi serangan credential. Rekomendasi pertama adalah melakukan monitoring terhadap pola error OAuth yang mencurigakan pada aplikasi-aplikasi yang menghadap Entra ID, termasuk rate tinggi dari AADSTS50034 (invalid username) yang mengindikasikan enumerasi akun. Kedua, implementasikan monitoring terhadap request OAuth dengan client ID yang tidak dikenal atau tidak terdaftar di tenant. Ketiga, pertimbangkan untuk membatasi akses OAuth dari aplikasi pihak ketiga yang tidak terdaftar melalui tenant filtering di tenant settings. Keempat, manfaatkan Microsoft Graph API untuk memantau application registrations dan service principals yang mencurigakan.
Untuk organisasi di Indonesia yang menggunakan Microsoft 365 dan Entra ID sebagai platform identitas utama, teknik ini menekankan pentingnya tidak hanya mengandalkan fitur keamanan bawaan platform. Blind spot di logging dan Conditional Access harus dipahami dan dikompensasi dengan pendekatan defense-in-depth yang melibatkan monitoring di layer aplikasi, analisis anomali pada pola OAuth, dan review berkala terhadap application registrations. Dengan volume serangan yang mencapai jutaan request seperti yang terlihat dari kedua kampanye yang diidentifikasi Proofpoint, setiap organisasi Entra ID di Indonesia berpotensi menjadi target dan harus mempersiapkan pertahanan yang memadai.
