
Una deficiencia de seguridad en Microsoft Azure Active Directory (AD) Open Authorization (OAuth) podría haberse aprovechado para lograr la adquisición total de la cuenta, dijeron los investigadores.
El servicio de administración de acceso e identidad con sede en California Descope, que descubrió e informó el problema en abril de 2023, lo denominó nOAuth.
“nOAuth es una falla en la implementación de la autenticación que puede afectar las aplicaciones OAuth multiusuario de Microsoft Azure AD”, dijo Omer Cohen, director de seguridad de Descope, dicho.
La configuración incorrecta tiene que ver con la forma en que un actor malicioso puede modificar los atributos de correo electrónico en “Información de contacto” en la cuenta de Azure AD y explotar la función “Iniciar sesión con Microsoft” para secuestrar la cuenta de una víctima.
Para llevar a cabo el ataque, todo lo que tiene que hacer un adversario es crear y acceder a una cuenta de administrador de Azure AD y modificar su dirección de correo electrónico a la de una víctima y aprovechar el esquema de inicio de sesión único en una aplicación o sitio web vulnerable.
“Si la aplicación fusiona cuentas de usuario sin validación, el atacante ahora tiene control total sobre la cuenta de la víctima, incluso si la víctima no tiene una cuenta de Microsoft”, explicó Cohen.
La explotación exitosa otorga al adversario un “campo abierto” para configurar la persistencia, filtrar datos y llevar a cabo otras actividades posteriores a la explotación según la naturaleza de la aplicación.
Esto se debe al hecho de que una dirección de correo electrónico es mutable y no está verificada en Azure AD, lo que hace que Microsoft emita una advertencia. no usar reclamos por correo electrónico para fines de autorización.
🔐 Dominio de la seguridad de API: comprensión de su verdadera superficie de ataque
Descubra las vulnerabilidades sin explotar en su ecosistema de API y tome medidas proactivas hacia una seguridad inquebrantable. ¡Únase a nuestro seminario web perspicaz!
El gigante tecnológico caracterizó el problema como un “antipatrón inseguro utilizado en las aplicaciones de Azure AD (AAD)” donde el uso del reclamo de correo electrónico de los tokens de acceso para la autorización puede conducir a una escalada de privilegios.
“Un atacante puede falsificar el reclamo de correo electrónico en los tokens emitidos a las aplicaciones”, dice anotado. “Además, existe la amenaza de fuga de datos si las aplicaciones utilizan tales afirmaciones para la búsqueda de correo electrónico”.
También dijo que identificó y notificó varias aplicaciones de múltiples inquilinos con usuarios que utilizan una dirección de correo electrónico con un propietario de dominio no verificado.






