Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Defecto crítico ‘nOAuth’ en Microsoft Azure AD Habilitado la adquisición completa de cuenta
  • Tecnología

Defecto crítico ‘nOAuth’ en Microsoft Azure AD Habilitado la adquisición completa de cuenta

teknomers 21 de Haziran de 2023 (Last updated: 21 de Haziran de 2023) 3 minutes read
Defecto crítico 'nOAuth' en Microsoft Azure AD Habilitado la adquisición


21 de junio de 2023Ravie LakshmanánAutenticación / Vulnerabilidad

Una deficiencia de seguridad en Microsoft Azure Active Directory (AD) Open Authorization (OAuth) podría haberse aprovechado para lograr la adquisición total de la cuenta, dijeron los investigadores.

El servicio de administración de acceso e identidad con sede en California Descope, que descubrió e informó el problema en abril de 2023, lo denominó nOAuth.

“nOAuth es una falla en la implementación de la autenticación que puede afectar las aplicaciones OAuth multiusuario de Microsoft Azure AD”, dijo Omer Cohen, director de seguridad de Descope, dicho.

La configuración incorrecta tiene que ver con la forma en que un actor malicioso puede modificar los atributos de correo electrónico en “Información de contacto” en la cuenta de Azure AD y explotar la función “Iniciar sesión con Microsoft” para secuestrar la cuenta de una víctima.

La seguridad cibernética

Para llevar a cabo el ataque, todo lo que tiene que hacer un adversario es crear y acceder a una cuenta de administrador de Azure AD y modificar su dirección de correo electrónico a la de una víctima y aprovechar el esquema de inicio de sesión único en una aplicación o sitio web vulnerable.

“Si la aplicación fusiona cuentas de usuario sin validación, el atacante ahora tiene control total sobre la cuenta de la víctima, incluso si la víctima no tiene una cuenta de Microsoft”, explicó Cohen.

La explotación exitosa otorga al adversario un “campo abierto” para configurar la persistencia, filtrar datos y llevar a cabo otras actividades posteriores a la explotación según la naturaleza de la aplicación.

Esto se debe al hecho de que una dirección de correo electrónico es mutable y no está verificada en Azure AD, lo que hace que Microsoft emita una advertencia. no usar reclamos por correo electrónico para fines de autorización.

PRÓXIMO SEMINARIO WEB

🔐 Dominio de la seguridad de API: comprensión de su verdadera superficie de ataque

Descubra las vulnerabilidades sin explotar en su ecosistema de API y tome medidas proactivas hacia una seguridad inquebrantable. ¡Únase a nuestro seminario web perspicaz!

Únase a la sesión

El gigante tecnológico caracterizó el problema como un “antipatrón inseguro utilizado en las aplicaciones de Azure AD (AAD)” donde el uso del reclamo de correo electrónico de los tokens de acceso para la autorización puede conducir a una escalada de privilegios.

“Un atacante puede falsificar el reclamo de correo electrónico en los tokens emitidos a las aplicaciones”, dice anotado. “Además, existe la amenaza de fuga de datos si las aplicaciones utilizan tales afirmaciones para la búsqueda de correo electrónico”.

También dijo que identificó y notificó varias aplicaciones de múltiples inquilinos con usuarios que utilizan una dirección de correo electrónico con un propietario de dominio no verificado.

¿Encontraste este artículo interesante? Siga con nosotros Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Vínculos entre Mandelson y Epstein detallados en informe de JPMorgan
Next: Nike apuesta por la lana indolora

Related Stories

¿Por qué los resúmenes de reuniones generados por la IA
  • Tecnología

¿Por qué los resúmenes de reuniones generados por la IA se vuelven indispensables para los equipos de hoy?

teknomers 6 de Temmuz de 2026
Un mini-reactor nuclear impreso en 3D para alimentar los data
  • Tecnología

Un mini-reactor nuclear impreso en 3D para alimentar los data centers de IA: una primicia mundial con torio

teknomers 6 de Temmuz de 2026
El fisco francés reembolsa a Microsoft: su propio informe lo
  • Tecnología

El fisco francés reembolsa a Microsoft: su propio informe lo confirma

teknomers 6 de Temmuz de 2026

You May Have Missed

¿Por qué los resúmenes de reuniones generados por la IA
  • Tecnología

¿Por qué los resúmenes de reuniones generados por la IA se vuelven indispensables para los equipos de hoy?

teknomers 6 de Temmuz de 2026
  • General

Más de 500 muertos en el brote de Ébola en la RDC

teknomers 6 de Temmuz de 2026
Psicólogo y practicante de la "terapia con miel", un tolosano
  • salud

Psicólogo y practicante de la “terapia con miel”, un tolosano sospechoso de haber violado a dos pacientes y de haber grabado la escena: tras su arresto, sus instalaciones y su casa fueron registradas.

teknomers 6 de Temmuz de 2026
El caso Balogun, la gota que colmó el vaso en
  • Entretenimiento

El caso Balogun, la gota que colmó el vaso en la « bromance » entre Trump e Infantino

teknomers 6 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.