Ataques de password spraying: cómo Azure CLI fue explotado en Microsoft 365

C es una concesión heredada de OAuth 2.0 que permite que una aplicación cliente recopile directamente las credenciales de un usuario (usuario y contraseña) y las envíe en texto plano al endpoint de autorización (específicamente al punto de conexión /token de Entra ID) para recibir a cambio un token de acceso y un token de actualización.
Este flujo presenta graves riesgos de seguridad que motivaron su desaprobación (deprecation) oficial en el estándar OAuth 2.1. El problema principal de ROPC es que elimina la naturaleza interactiva del proceso de inicio de sesión moderno. A diferencia de los flujos de autorización recomendados (como Authorization Code Flow con PKCE), donde el usuario es redirigido a una página oficial controlada por el proveedor de identidad para resolver desafíos de seguridad, ROPC gestiona todo de manera programática. Como consecuencia:
- Envía las credenciales corporativas directamente a través de una API.
- No tiene soporte nativo para flujos interactivos de MFA o Single Sign-On (SSO).
- Permite a un atacante que posee credenciales válidas intercambiarlas silenciosamente por tokens de acceso de Azure CLI, evadiendo las pantallas de advertencia que alertarían al usuario final.
” (236 words)
Let’s trim Section 3 (Brechas de Configuración):
“El título de la investigación de Huntress, “No (Bad) CAP”, hace referencia
Escrito por
TempMail Ninja
Experto en privacidad digital y seguridad en línea. Apasionado por crear herramientas que protejan la identidad de los usuarios en internet.


