Το σφάλμα nOAuth της Microsoft εξακολουθεί να εκθέτει εφαρμογές SaaS δύο χρόνια μετά την ανακάλυψή του

Μια κρίσιμη ευπάθεια ελέγχου ταυτότητας στο Entra ID της Microsoft, παλαιότερα γνωστό ως Azure AD, εξακολουθεί να αφήνει χιλιάδες εταιρικές εφαρμογές λογισμικού ως υπηρεσία (SaaS) ευάλωτες σε εξαγορές λογαριασμών, δύο χρόνια αφότου το πρόβλημα ήρθε για πρώτη φορά στο φως. Νέα ευρήματα από την εταιρεία ασφάλειας ταυτότητας Semperis, που παρουσιάστηκαν στο συνέδριο TROOPERS25, υπογραμμίζουν τον συνεχιζόμενο κίνδυνο. Η ευπάθεια, που ονομάστηκε «nOAuth», αναφέρθηκε για πρώτη φορά από την Descope τον Ιούνιο του 2023. Προέρχεται από ένα ελάττωμα στον τρόπο με τον οποίο ορισμένες εφαρμογές SaaS υλοποιούν το OpenID Connect (OIDC), ένα επίπεδο ελέγχου ταυτότητας που βασίζεται στο πλαίσιο εξουσιοδότησης OAuth 2.0. Συγκεκριμένα, το πρόβλημα έγκειται στο ότι οι εφαρμογές εμπιστεύονται το μεταβλητό και μη επαληθευμένο πεδίο «email» σε ένα διακριτικό ελέγχου ταυτότητας για την αναγνώριση του χρήστη. Αυτή η πρακτική είναι ένα γνωστό αντι-μοτίβο σύμφωνα με τα πρότυπα του OpenID Connect. Ένας εισβολέας μπορεί να εκμεταλλευτεί αυτό το ελάττωμα δημιουργώντας έναν λογαριασμό σε έναν ενοικιαστή Entra ID και ορίζοντας τη διεύθυνση email του ώστε να ταιριάζει με αυτή του θύματος-στόχου. Όταν ο εισβολέας χρησιμοποιεί τη λειτουργία «Σύνδεση με τη Microsoft» σε μια ευάλωτη εφαρμογή SaaS, η εφαρμογή αναγνωρίζει εσφαλμένα τον εισβολέα ως τον νόμιμο χρήστη με βάση μόνο τη διεύθυνση email. Αυτό μπορεί να οδηγήσει σε πλήρη εξαγορά του λογαριασμού του θύματος εντός της εφαρμογής SaaS. Το ανησυχητικό είναι ότι παραδοσιακές δικλείδες ασφαλείας όπως ο έλεγχος ταυτότητας πολλαπλών παραγόντων (MFA) και οι πολιτικές Zero Trust δεν παρέχουν προστασία από αυτήν την επίθεση. Η έρευνα της Semperis αποκάλυψε τη σοβαρότητα του συνεχιζόμενου προβλήματος. Σε μια δοκιμή περισσότερων από 100 εφαρμογών SaaS ενσωματωμένων στο Entra, η Semperis διαπίστωσε ότι σχεδόν το 10% ήταν ευάλωτες στην κατάχρηση του nOAuth. Με βάση τις εκτιμήσεις ότι υπάρχουν πάνω από 150.000 εφαρμογές SaaS σε χρήση, αυτό θα μπορούσε να σημαίνει ότι τουλάχιστον 15.000 εφαρμογές παραμένουν εκτεθειμένες. Οι ευάλωτες εφαρμογές που εντοπίστηκαν περιελάμβαναν ευαίσθητα συστήματα, όπως μια πλατφόρμα διαχείρισης ανθρώπινου δυναμικού που περιέχει προσωπικά αναγνωρίσιμες πληροφορίες (PII) και εφαρμογές που ενσωματώνονται στο Microsoft 365. Μετά την αρχική αποκάλυψη το 2023, η Microsoft έλαβε μέτρα για τον μετριασμό του κινδύνου, συμπεριλαμβανομένης της αλλαγής της προεπιλεγμένης συμπεριφοράς για τις νέες εγγραφές εφαρμογών ώστε να μην εκδίδουν αξίωση email εάν η διεύθυνση email δεν έχει επαληθευτεί. Ωστόσο, χιλιάδες εφαρμογές που δημιουργήθηκαν πριν από τον Ιούνιο του 2023 εξακολουθούν να υπάρχουν και οι προγραμματιστές μπορούν ακόμα να διαμορφώσουν τις εφαρμογές ώστε να δέχονται μη επαληθευμένα email. Η ευθύνη για την οριστική διόρθωση του ελαττώματος ανήκει στους προγραμματιστές εφαρμογών, οι οποίοι πρέπει να ενημερώσουν τον κώδικά τους ώστε να χρησιμοποιούν ένα μοναδικό, αμετάβλητο αναγνωριστικό χρήστη για έλεγχο ταυτότητας, αντί να βασίζονται στη διεύθυνση email. Οι ερευνητές της Semperis χαρακτηρίζουν την ευπάθεια ως «σοβαρή» λόγω της χαμηλής πολυπλοκότητας της επίθεσης και της δυσκολίας στον εντοπισμό και την άμυνα. Είναι σχεδόν αδύνατο για τους πελάτες των ευάλωτων εφαρμογών να γνωρίζουν ότι αποτελούν στόχο ή να αμυνθούν έναντι της επίθεσης. Η Semperis ειδοποίησε τη Microsoft και τους επηρεαζόμενους προμηθευτές για τα ευρήματά της τον Δεκέμβριο του 2024. Ενώ ορισμένοι προμηθευτές έχουν διορθώσει τις εφαρμογές τους, άλλοι παραμένουν ευάλωτοι, αφήνοντας τους χρήστες τους σε κίνδυνο.