Une lacune de sécurité dans Microsoft Azure Active Directory (AD) Open Authorization (OAuth) Le processus aurait pu être exploité pour parvenir à une prise de contrôle complète du compte, ont déclaré des chercheurs.
Le service californien de gestion des identités et des accès Descope, qui a découvert et signalé le problème en avril 2023, l’a surnommé nOAuth.
“nOAuth est une faille d’implémentation d’authentification qui peut affecter les applications OAuth multi-locataires de Microsoft Azure AD”, Omer Cohen, directeur de la sécurité chez Descope, a dit.
La mauvaise configuration est liée à la façon dont un acteur malveillant peut modifier les attributs de messagerie sous “Informations de contact” dans le compte Azure AD et exploiter la fonctionnalité “Connexion avec Microsoft” pour détourner un compte victime.
Pour réussir l’attaque, tout ce qu’un adversaire a à faire est de créer et d’accéder à un compte administrateur Azure AD et de modifier son adresse e-mail en celle d’une victime et de profiter du schéma d’authentification unique sur une application ou un site Web vulnérable.
“Si l’application fusionne des comptes d’utilisateurs sans validation, l’attaquant a désormais un contrôle total sur le compte de la victime, même si la victime n’a pas de compte Microsoft”, a expliqué Cohen.
Une exploitation réussie accorde à l’adversaire un “champ ouvert” pour configurer la persistance, exfiltrer les données et effectuer d’autres activités de post-exploitation en fonction de la nature de l’application.
Cela vient du fait qu’une adresse e-mail est à la fois modifiable et non vérifiée dans Azure AD, ce qui incite Microsoft à émettre un avertissement. ne pas utiliser les réclamations par e-mail à des fins d’autorisation.
🔐 Maîtriser la sécurité des API : Comprendre votre véritable surface d’attaque
Découvrez les vulnérabilités inexploitées de votre écosystème d’API et prenez des mesures proactives pour une sécurité à toute épreuve. Rejoignez notre webinaire perspicace !
Le géant de la technologie a qualifié le problème d'”anti-modèle non sécurisé utilisé dans les applications Azure AD (AAD)” où l’utilisation de la réclamation par e-mail des jetons d’accès pour l’autorisation peut entraîner une élévation des privilèges.
“Un attaquant peut falsifier la réclamation par e-mail dans les jetons émis pour les applications”, a-t-il déclaré. indiqué. “De plus, la menace de fuite de données existe si les applications utilisent de telles revendications pour la recherche d’e-mails.”
Il a également déclaré avoir identifié et notifié plusieurs applications multi-locataires avec des utilisateurs qui utilisent une adresse e-mail avec un propriétaire de domaine non vérifié.


