Uma nova pesquisa revelou riscos contínuos de uma fraqueza de segurança já conhecida no Entra ID da Microsoft, possibilitando a atores mal-intencionados realizar a tomada de contas em aplicações suscetíveis de software-as-a-service (SaaS).
A empresa de segurança de identidade Semperis, em uma análise de 104 aplicações SaaS, encontrou nove delas vulneráveis ao abuso de nOAuth cross-tenant do Entra ID.
Primeiramente divulgado pela Descope em junho de 2023, nOAuth refere-se a uma fraqueza em como as aplicações SaaS implementam o OpenID Connect (OIDC), que se refere a uma camada de autenticação construída em cima do OAuth para verificar a identidade de um usuário.
A falha na implementação da autenticação essencialmente permite que um ator mal-intencionado mude o atributo de email na conta do Entra ID para o de uma vítima e tire vantagem do recurso "Log in com Microsoft" da aplicação para sequestrar essa conta.
O ataque é trivial, mas também funciona porque o Entra ID permite que os usuários tenham um endereço de email não verificado, abrindo a porta para a personificação de usuários através de limites de tenant.
Também explora o fato de que uma aplicação usando múltiplos provedores de identidade (por exemplo, Google, Facebook, ou Microsoft) poderia inadvertidamente permitir que um atacante se logue na conta de um usuário alvo simplesmente porque o endereço de email é usado como o único critério para identificar uniquely usuários e mesclar contas.
O modelo de ameaça da Semperis foca em uma variante do nOAuth, especificamente encontrando aplicações que permitem o acesso cross-tenant do Entra ID.
Em outras palavras, tanto o atacante quanto a vítima estão em tenants do Entra ID diferentes.
"O abuso de nOAuth é uma ameaça séria que muitas organizações podem estar expostas," disse Eric Woodruff, chief identity architect na Semperis.
"É de baixo esforço, deixa quase nenhum rastro e burla proteções do usuário final."
Um atacante que abusa do nOAuth com sucesso não só seria capaz de ganhar acesso aos dados da aplicação SaaS, mas também potencialmente de se deslocar para recursos do Microsoft 365.
A Semperis disse que reportou as descobertas para a Microsoft em dezembro de 2024, levando o fabricante do Windows a reiterar recomendações que deu em 2023, coincidindo com a divulgação pública do nOAuth.
Também notou que fornecedores que não cumprem as diretrizes correm o risco de ter suas aplicações removidas do Entra App Gallery.
A Microsoft também enfatizou que o uso de claims diferentes do identificador de sujeito (referido como o "sub" claim) para identificar uniquely um usuário final no OpenID Connect é não conforme.
"Se um OpenID Connect relying party usa qualquer outro claim em um token além de uma combinação do sub (subject) claim e do iss (issuer) claim como um identificador de conta primário no OpenID Connect, eles estão quebrando o contrato de expectativas entre provedor de identidade federada e relying party," a companhia destacou naquela época.
Mitigar o nOAuth ultimamente repousa nas mãos dos desenvolvedores, que devem implementar corretamente a autenticação para prevenir a tomada de contas criando um identificador de usuário único e imutável.
"O abuso de nOAuth explora vulnerabilidades cross-tenant e pode levar à exfiltração de dados de aplicações SaaS, persistência, e movimento lateral," a empresa disse.
O abuso é difícil para clientes de aplicações vulneráveis detectarem e impossível para clientes de aplicações vulneráveis defenderem contra.
A divulgação vem enquanto a Trend Micro revelou que contêineres mal configurados ou com privilégios excessivos em ambientes Kubernetes podem ser usados para facilitar o acesso a credenciais sensíveis da Amazon Web Services (AWS), permitindo que atacantes conduzam atividades subsequentes.
A empresa de cibersegurança disse que atacantes podem explorar privilégios excessivos concedidos a contêineres usando métodos como sniffing de pacotes de tráfego HTTP não criptografado para acessar credenciais em texto plano e spoofing de API, que usa configurações manipuladas da Network Interface Card (NIC) para interceptar tokens de Autorização e ganhar privilégios elevados.
"As descobertas [...] destacam considerações críticas de segurança ao usar o Amazon EKS Pod Identity para simplificar o acesso a recursos AWS em ambientes Kubernetes," disse o pesquisador de segurança Jiri Gogela.
Essas vulnerabilidades sublinham a importância de aderir ao princípio de menor privilégio, garantindo que as configurações de contêiner sejam apropriadamente delimitadas, e minimizando oportunidades para exploração por atores mal-intencionados.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...