PDA

View Full Version : OAuth Client ID Spoofing, la nuova minaccia cloud scoperta da Proofpoint


Redazione di Hardware Upg
15-07-2026, 15:52
Link alla notizia: https://edge9.hwupgrade.it/news/security/oauth-client-id-spoofing-la-nuova-minaccia-cloud-scoperta-da-proofpoint_156353.html

Proofpoint ha individuato una tecnica usata per enumerare gli account Microsoft Entra ID e verificare la validità delle credenziali senza registrare una vera applicazione OAuth e senza registrazione nei log

Click sul link per visualizzare la notizia.

lollo9
15-07-2026, 23:07
ma cristo santo…

password grant nel 2026, serio? già chi si appoggia a ROPC ha problemi grossi su come si gestisce un flusso sicuro. se poi è MS e il prodotto è il loro identity provider beeeh :doh:
che poi l'endpoint sta aperto a livello di IdP per tutti, uno manco può chiuderlo. con gli errori che validano le credenziali prima ancora di rifiutare la richiesta, quindi manco bloccando la legacy auth chiudi il buco

i clienti dietro non stanno tanto meglio, e la scusa del legacy non regge, è l'accusa. dopo anni MS non ha un rimpiazzo pulito per certi scenari graph delegati, tanto che nei loro Q&A scrivono "no good alternatives". in prod con quella roba nel 2026 non ci vai, punto

OAuth l'ha sconsigliato dal 2012, nel 2025 lo mette a MUST NOT, con 2.1 che lo toglie proprio. MS stessa lo dichiara insicuro perché espone le credenziali alle app. poi però tiene l'endpoint aperto, errori super parlanti e log alla pane e salame

tanto, vero, chissenefrega se tra le vittime proofpoint ci sono tenant che ROPC manco lo toccano, sondati lo stesso da quell'endpoint comune. gente s'è ritrovata con mezza AAD lockata :mad:

poi MS si chiede perché la gente preferisce tenersi un keycloak self managed con la sua user pool sincronizzata fuori dalle logiche di tenant