Nieuw onderzoek heeft het voortdurende risico van een bekende beveiligingszwakte in de Entra-ID van Microsoft aan het licht gebracht, waardoor kwaadaardige actoren mogelijk rekening kunnen houden met overnames in gevoelige software-as-a-service (SaaS) -toepassingen.
Identity Security Company Semperis, in een analyse van 104 SaaS-applicaties, vond negen van hen kwetsbaar voor Entra ID cross-tenant Noauth misbruik.
Voor het eerst bekendgemaakt door Descope in juni 2023, verwijst Noauth naar een zwakte in hoe SaaS -applicaties OpenID Connect (OIDC) implementeren, die verwijst naar een authenticatielaag gebouwd bovenop OAuth om de identiteit van een gebruiker te verifiëren.
De fouten van de authenticatie -implementatie stelt in wezen een slechte acteur in staat om het e -mailattribuut in het Entra ID -account te wijzigen in dat van een slachtoffer en profiteert van de functie “Login” Login in Log In Microsoft “om dat account te kapen.
De aanval is triviaal, maar het werkt ook omdat Entra ID gebruikers toestaat een niet -geverifieerd e -mailadres te hebben, waardoor de deur naar gebruikersimitatie wordt geopend over huurdersgrenzen.
Het maakt ook gebruik van het feit dat een app die meerdere identiteitsproviders gebruikt (bijv. Google, Facebook of Microsoft) per ongeluk een aanvaller toestaan om zich aan te melden bij het account van een doelgebruiker, simpelweg omdat het e -mailadres wordt gebruikt als de enige criteria om gebruikers uniek te identificeren en accounts samen te voegen.
Het dreigingsmodel van Semperis richt zich op een variant van NoAuth, met name het vinden van applicaties die Entra ID-cross-tenant-toegang mogelijk maken. Met andere woorden, zowel de aanvaller als het slachtoffer zijn op twee verschillende Entra ID -huurders.
“Noauth -misbruik is een serieuze bedreiging waaraan veel organisaties kunnen worden blootgesteld,” zei Eric Woodruff, hoofdidentiteitsarchitect bij Semperis. “Het is lage inspanning, laat bijna geen spoor achter en omzeilt de bescherming van eindgebruikers.”
“Een aanvaller die Noauth met succes misbruikt, zou niet alleen in staat zijn om toegang te krijgen tot de SaaS -applicatiegegevens, maar ook mogelijk om te draaien in Microsoft 365 -bronnen.”
Semperis zei dat het de bevindingen aan Microsoft in december 2024 rapporteerde, waardoor de Windows -maker aanbevelingen herhaalde die het in 2023 had teruggegeven, samenvallend met de openbaarmaking van Noauth. Het merkte ook op dat leveranciers die niet voldoen aan de richtlijnen, het risico lopen hun apps uit de Entra App Gallery te verwijderen.
Microsoft heeft ook benadrukt dat het gebruik van andere claims dan subject-identificatie (aangeduid als de “sub” claim) om een eindgebruiker in OpenId Connect uniek te identificeren, niet conform is.
“Als een OpenID Connect Relying Party andere claims in een token gebruikt naast een combinatie van de sub (subject) claim en de ISS -claim (emittent) als een primaire account -identificatie in OpenID Connect, breken ze het contract van verwachtingen tussen de federale identiteitsprovider en het vertrouwen van partij,” merkte het bedrijf op dat moment op.
Het verzachten van Noauth berust uiteindelijk in de handen van ontwikkelaars, die authenticatie goed moeten implementeren om accountovernames te voorkomen door een unieke, onveranderlijke gebruikersidentifier te maken.
“Noauth-misbruik maakt gebruik van kwetsbaarheden van cross-huurders en kan leiden tot SaaS-toepassingsgegevens-exfiltratie, persistentie en laterale beweging,” zei het bedrijf. “Het misbruik is moeilijk voor klanten van kwetsbare toepassingen om klanten te detecteren en onmogelijk voor klanten van kwetsbare aanvragen om zich tegen te verdedigen.”
De openbaarmaking komt wanneer Trend Micro heeft aangetoond dat verkeerd geconfigureerde of overdreven bevoorrechte containers in Kubernetes-omgevingen kunnen worden gebruikt om de toegang tot gevoelige Amazon Web Services (AWS) -referenties te vergemakkelijken, waardoor aanvallers vervolgactiviteiten kunnen uitvoeren.
Het cybersecuritybedrijf zei dat aanvallers buitensporige voorrechten kunnen benutten die aan containers worden verleend met methoden zoals pakket snuiven van niet -gecodeerd HTTP -verkeer om toegang te krijgen tot platte tekst en API -spoofing, die gebruik maakt van gemanipuleerde netwerkinterfacekaart (NIC) -instellingen om autorisatie -tokens te onderscheppen en verhoogde voorrechten te krijgen.
“De bevindingen (…) benadrukken kritieke beveiligingsoverwegingen bij het gebruik van Amazon EKS POD -identiteit voor het vereenvoudigen van AWS -resource -toegang in Kubernetes -omgevingen,” zei beveiligingsonderzoeker Jiri Gogela.
“Deze kwetsbaarheden onderstrepen het belang van het naleven van het principe van het minste privilege, ervoor te zorgen dat containerconfiguraties op de juiste manier worden bekeken en het minimaliseren van kansen voor uitbuiting door kwaadaardige acteurs.”
