Una nueva investigación ha descubierto el aventura continuo de una amor de seguridad conocida en la identificación de Entra de Microsoft, lo que podría permitir a los actores maliciosos conseguir adquisiciones de cuentas en aplicaciones susceptibles de software como servicio (SaaS).
La compañía de seguridad de identidad Semperis, en un observación de 104 aplicaciones SaaS, encontró que nueve de ellas son vulnerables al injusticia de Entra Id Cross-Wenant Noauth.
Primero divulgado por Descope en junio de 2023, Noauth se refiere a una amor en cómo las aplicaciones SaaS implementan OpenID Connect (OIDC), que se refiere a una capa de autenticación construida sobre OAuth para confirmar la identidad de un usufructuario.
El defecto de implementación de autenticación esencialmente permite que un mal actor cambie el atributo de correo en la cuenta de ID de Entra a la de una víctima y aproveche la función “Inicie sesión con Microsoft” de la aplicación para secuestrar esa cuenta.
El ataque es trivial, pero además funciona porque Entra ID permite a los usuarios tener una dirección de correo electrónico no verificada, abriendo la puerta a la suplantación del usufructuario a través de los límites del inquilino.
Todavía explota el hecho de que una aplicación que usa múltiples proveedores de identidad (por ejemplo, Google, Facebook o Microsoft) podría permitir inadvertidamente que un atacante inicie sesión en la cuenta de un usufructuario objetivo simplemente porque la dirección de correo electrónico se usa como el único criterio para identificar de forma monopolio a los usuarios y fusionar cuentas.
El maniquí de amenaza de Semperis se centra en una modificación de noauth, específicamente encontrar aplicaciones que permitan el llegada al inquilino cruzado Entra ID. En otras palabras, tanto el atacante como la víctima están en dos inquilinos diferentes de Entra Id.
“Noauth abuse es una amenaza formal a la que muchas organizaciones pueden estar expuestas”, dijo Eric Woodruff, arquitecto de identidad patriarca de Semperis. “Es un esfuerzo bajo, casi no deja indicio y evita las protecciones del usufructuario final”.
“Un atacante que abusa con éxito de Noauth podría no solo obtener llegada a los datos de la aplicación SaaS, sino además potencialmente para pivotar en los fortuna de Microsoft 365”.
Semperis dijo que informó los hallazgos a Microsoft en diciembre de 2024, lo que llevó al fabricante de Windows a reiterar las recomendaciones que devolvió en 2023, coincidiendo con la divulgación pública de Noauth. Todavía señaló que los proveedores que no cumplen con las pautas corren el aventura de que sus aplicaciones se eliminen de la Corredor de aplicaciones Entra.
Microsoft además ha enfatizado que el uso de reclamos distintos del identificador de sujeto (denominado propaganda “sub”) para identificar de forma única a un usufructuario final en OpenID Connect no es conformada.
“Si una parte de OpenID Connect, encomendar en cualquier otro propaganda en un token, por otra parte de una combinación del propaganda sub (sujeto) y el propaganda de ISS (emisor) como un identificador de cuenta principal en OpenID Connect, están rompiendo el arreglo de expectativas entre el proveedor de identidad federada y la parte que confía”, señaló en ese momento.
La mitigación de Noauth finalmente se apoyo en manos de los desarrolladores, que deben implementar adecuadamente la autenticación para evitar adquisiciones de cuentas mediante la creación de un identificador de usufructuario único e inmutable.
“Noauth injusticia explota vulnerabilidades de inquilino cruzado y puede conducir a la exfiltración de datos de la aplicación SaaS, la persistencia y el movimiento fronterizo”, dijo la compañía. “El injusticia es difícil para los clientes de aplicaciones vulnerables para detectar e impracticable para que los clientes de aplicaciones vulnerables se defiendan”.
La divulgación se produce cuando Trend Micro reveló que los contenedores mal configurados o demasiado privilegiados en los entornos de Kubernetes pueden estilarse para entregar el llegada a credenciales sensibles de Amazon Web Services (AWS), lo que permite a los atacantes realizar actividades de seguimiento.
La compañía de ciberseguridad dijo que los atacantes pueden explotar los privilegios excesivos otorgados a los contenedores utilizando métodos como el olfateo de paquetes del tráfico HTTP no certificado para entrar a las credenciales de texto sin formato y la suplantación de API, que utiliza configuraciones de interfaz de red manipuladas (NIC) para interceptar tokens de autorización y obtener privilegios elevados.
“Los hallazgos (…) destacan consideraciones críticas de seguridad al usar Amazon EKS POD Identity para simplificar el llegada a los fortuna de AWS en entornos de Kubernetes”, dijo la investigadora de seguridad Jiri Gogela.
“Estas vulnerabilidades subrayan la importancia de solidarizarse al principio de pequeño privilegio, respaldar que las configuraciones de contenedores se alcancen adecuadamente y minimizan las oportunidades de explotación por parte de actores maliciosos”.
