nOAuth превратил кнопку «Войти через Microsoft» в «Отдать всё хакеру». И вы сами в этом виноваты
NewsMakerMicrosoft предупредила, разработчики проигнорировали. Теперь преступники входят в ваши аккаунты через парадную дверь.
В последние дни специалисты вновь обратили внимание на серьёзную угрозу для пользователей Microsoft Entra ID — системы управления цифровыми идентификаторами, ранее известной как Azure Active Directory. Речь идёт о проблеме, которую условно называют nOAuth, и которая позволяет злоумышленникам перехватывать учётные записи в популярных облачных сервисах.
Исследование компании Semperis показало , что несмотря на то, что сама уязвимость была раскрыта ещё в июне 2023 года, риск по-прежнему остаётся актуальным. В ходе анализа 104 популярных SaaS-приложений эксперты выяснили, что как минимум девять из них уязвимы для атак с использованием схемы nOAuth, если в системе задействован Entra ID .
Суть проблемы кроется в том, как некоторые приложения интегрируют протокол OpenID Connect. Этот механизм должен служить дополнительным уровнем безопасности поверх стандартного протокола OAuth, обеспечивая проверку личности пользователя. Однако из-за ошибок в реализации злоумышленник может подменить электронную почту в своём профиле на адрес жертвы. После этого он может воспользоваться функцией «Войти через Microsoft», чтобы получить полный доступ к чужому аккаунту.
Опасность усугубляется тем, что Entra ID разрешает использование неподтверждённых email-адресов. Кроме того, если приложение поддерживает сразу несколько поставщиков идентификации — например, Google, Facebook или Microsoft, — то пользовательская учётная запись может быть определена исключительно по адресу электронной почты. Именно эту лазейку и используют злоумышленники, чтобы выдавать себя за жертв.
Особое внимание специалисты Semperis уделили так называемому «кросс-арендному» сценарию — когда атакующий и жертва находятся в разных тенантах Entra ID. Эта схема позволяет перехватывать доступ даже между независимыми организациями, используя единую экосистему Microsoft.
Как пояснили в Semperis, атака требует минимальных усилий, практически не оставляет следов и легко обходит стандартные механизмы защиты на стороне конечного пользователя. Более того, после захвата учётной записи в SaaS-сервисе злоумышленник может получить доступ и к корпоративным ресурсам Microsoft 365 , что значительно расширяет потенциальный масштаб атаки.
Semperis сообщила о своих находках Microsoft ещё в декабре 2024 года. В ответ компания напомнила разработчикам об уже опубликованных в 2023 году рекомендациях по безопасному внедрению OpenID Connect. В частности, подчёркивается, что в качестве уникального идентификатора пользователя следует использовать только комбинацию из двух атрибутов — subject identifier (sub) и issuer (iss). Любые другие данные, включая email-адрес, не могут служить для надёжного определения пользователя.
В случае игнорирования этих требований приложения рискуют быть исключёнными из каталога Entra App Gallery. Однако на практике многие разработчики продолжают использовать уязвимую логику, что и подтверждает исследование Semperis.
Эксперты подчёркивают, что ответственность за устранение проблемы полностью лежит на разработчиках приложений. Им необходимо внедрить уникальные и неизменяемые идентификаторы для пользователей, чтобы исключить возможность захвата учётных записей через nOAuth.
Этот инцидент демонстрирует, что даже хорошо известные уязвимости и ошибки могут оставаться актуальными месяцами, а иногда и годами, если участники экосистем не спешат внедрять защитные меры.
В последние дни специалисты вновь обратили внимание на серьёзную угрозу для пользователей Microsoft Entra ID — системы управления цифровыми идентификаторами, ранее известной как Azure Active Directory. Речь идёт о проблеме, которую условно называют nOAuth, и которая позволяет злоумышленникам перехватывать учётные записи в популярных облачных сервисах.
Исследование компании Semperis показало , что несмотря на то, что сама уязвимость была раскрыта ещё в июне 2023 года, риск по-прежнему остаётся актуальным. В ходе анализа 104 популярных SaaS-приложений эксперты выяснили, что как минимум девять из них уязвимы для атак с использованием схемы nOAuth, если в системе задействован Entra ID .
Суть проблемы кроется в том, как некоторые приложения интегрируют протокол OpenID Connect. Этот механизм должен служить дополнительным уровнем безопасности поверх стандартного протокола OAuth, обеспечивая проверку личности пользователя. Однако из-за ошибок в реализации злоумышленник может подменить электронную почту в своём профиле на адрес жертвы. После этого он может воспользоваться функцией «Войти через Microsoft», чтобы получить полный доступ к чужому аккаунту.
Опасность усугубляется тем, что Entra ID разрешает использование неподтверждённых email-адресов. Кроме того, если приложение поддерживает сразу несколько поставщиков идентификации — например, Google, Facebook или Microsoft, — то пользовательская учётная запись может быть определена исключительно по адресу электронной почты. Именно эту лазейку и используют злоумышленники, чтобы выдавать себя за жертв.
Особое внимание специалисты Semperis уделили так называемому «кросс-арендному» сценарию — когда атакующий и жертва находятся в разных тенантах Entra ID. Эта схема позволяет перехватывать доступ даже между независимыми организациями, используя единую экосистему Microsoft.
Как пояснили в Semperis, атака требует минимальных усилий, практически не оставляет следов и легко обходит стандартные механизмы защиты на стороне конечного пользователя. Более того, после захвата учётной записи в SaaS-сервисе злоумышленник может получить доступ и к корпоративным ресурсам Microsoft 365 , что значительно расширяет потенциальный масштаб атаки.
Semperis сообщила о своих находках Microsoft ещё в декабре 2024 года. В ответ компания напомнила разработчикам об уже опубликованных в 2023 году рекомендациях по безопасному внедрению OpenID Connect. В частности, подчёркивается, что в качестве уникального идентификатора пользователя следует использовать только комбинацию из двух атрибутов — subject identifier (sub) и issuer (iss). Любые другие данные, включая email-адрес, не могут служить для надёжного определения пользователя.
В случае игнорирования этих требований приложения рискуют быть исключёнными из каталога Entra App Gallery. Однако на практике многие разработчики продолжают использовать уязвимую логику, что и подтверждает исследование Semperis.
Эксперты подчёркивают, что ответственность за устранение проблемы полностью лежит на разработчиках приложений. Им необходимо внедрить уникальные и неизменяемые идентификаторы для пользователей, чтобы исключить возможность захвата учётных записей через nOAuth.
Этот инцидент демонстрирует, что даже хорошо известные уязвимости и ошибки могут оставаться актуальными месяцами, а иногда и годами, если участники экосистем не спешат внедрять защитные меры.