Scoperta una vulnerabilità in Entra ID di Microsoft: rischio di takeover degli account
Una nuova ricerca ha rivelato un rischio persistente legato a una debolezza di sicurezza nota in Entra ID di Microsoft, che potrebbe consentire a malintenzionati di prendere il controllo degli account in applicazioni software-as-a-service (SaaS) vulnerabili.
La società di sicurezza delle identità Semperis, in un’analisi di 104 applicazioni SaaS, ha identificato nove di esse come vulnerabili all’abuso di nOAuth cross-tenant di Entra ID. Questo problema, inizialmente segnalato da Descope nel giugno 2023, riguarda una debolezza nell’implementazione di OpenID Connect (OIDC) da parte delle applicazioni SaaS. OIDC è uno strato di autenticazione costruito sopra OAuth per verificare l’identità di un utente.
Come funziona l’abuso di nOAuth
Il difetto nell’implementazione dell’autenticazione consente a un attore malevolo di modificare l’attributo mail nell’account Entra ID con quello della vittima, sfruttando la funzione “Accedi con Microsoft” per dirottare l’account. L’attacco è semplice, ma efficace perché Entra ID permette agli utenti di avere un indirizzo email non verificato, aprendo la porta all’impersonificazione degli utenti tra diversi tenant.
Inoltre, l’attacco sfrutta il fatto che un’applicazione che utilizza più provider di identità (ad esempio, Google, Facebook o Microsoft) potrebbe inavvertitamente consentire a un attaccante di accedere all’account di un utente target semplicemente perché l’indirizzo email viene utilizzato come unico criterio per identificare univocamente gli utenti e unire gli account.
Le implicazioni per le organizzazioni
Il modello di minaccia di Semperis si concentra su una variante di nOAuth, individuando specificamente le applicazioni che consentono l’accesso cross-tenant di Entra ID. In altre parole, sia l’attaccante che la vittima si trovano su due tenant Entra ID diversi.
“L’abuso di nOAuth è una minaccia seria a cui molte organizzazioni potrebbero essere esposte,” ha affermato Eric Woodruff, chief identity architect di Semperis. “Richiede poco sforzo, lascia quasi nessuna traccia e bypassa le protezioni dell’utente finale.”
Un attaccante che riesce ad abusare di nOAuth potrebbe non solo ottenere l’accesso ai dati dell’applicazione SaaS, ma anche potenzialmente spostarsi verso le risorse di Microsoft 365.
Le raccomandazioni di Microsoft e le misure di mitigazione
Semperis ha riferito le sue scoperte a Microsoft nel dicembre 2024, spingendo il colosso di Redmond a ribadire le raccomandazioni fornite nel 2023, in concomitanza con la divulgazione pubblica di nOAuth. Microsoft ha sottolineato che l’uso di claim diversi dal subject identifier (noto come “sub” claim) per identificare univocamente un utente finale in OpenID Connect è non conforme.
“Se un relying party di OpenID Connect utilizza qualsiasi altro claim in un token oltre a una combinazione del sub (subject) claim e del iss (issuer) claim come identificatore principale dell’account in OpenID Connect, sta violando il contratto di aspettative tra il provider di identità federato e il relying party,” ha osservato l’azienda in quel momento.
La mitigazione di nOAuth dipende in ultima analisi dagli sviluppatori, che devono implementare correttamente l’autenticazione per prevenire il takeover degli account creando un identificatore utente unico e immutabile.
Fonte: The Hackers News
Ricevi le ultime attualità sul mondo tech!
