Una nueva investigación ha descubierto el riesgo continuo de una debilidad de seguridad conocida en la identificación de Entra de Microsoft, lo que podría permitir a los actores maliciosos lograr adquisiciones de cuentas en aplicaciones susceptibles de software como servicio (SaaS).
La compañía de seguridad de identidad Semperis, en un análisis de 104 aplicaciones SaaS, encontró que nueve de ellas son vulnerables al abuso de Entra Id Cross-Wenant Noauth.
Primero divulgado por Descope en junio de 2023, Noauth se refiere a una debilidad en cómo las aplicaciones SaaS implementan OpenID Connect (OIDC), que se refiere a una capa de autenticación construida sobre OAuth para verificar la identidad de un usuario.
El defecto de implementación de autenticación esencialmente permite que un mal actor cambie el atributo de correo en la cuenta de ID de Entra a la de una víctima y aproveche la función «Inicie sesión con Microsoft» de la aplicación para secuestrar esa cuenta.
El ataque es trivial, pero también funciona porque Entra ID permite a los usuarios tener una dirección de correo electrónico no verificada, abriendo la puerta a la suplantación del usuario a través de los límites del inquilino.
También explota el hecho de que una aplicación que usa múltiples proveedores de identidad (por ejemplo, Google, Facebook o Microsoft) podría permitir inadvertidamente que un atacante inicie sesión en la cuenta de un usuario objetivo simplemente porque la dirección de correo electrónico se usa como el único criterio para identificar de forma exclusiva a los usuarios y fusionar cuentas.
El modelo de amenaza de Semperis se centra en una variante de noauth, específicamente encontrar aplicaciones que permitan el acceso al inquilino cruzado Entra ID. En otras palabras, tanto el atacante como la víctima están en dos inquilinos diferentes de Entra Id.
«Noauth abuse es una amenaza grave a la que muchas organizaciones pueden estar expuestas», dijo Eric Woodruff, arquitecto de identidad jefe de Semperis. «Es un esfuerzo bajo, casi no deja rastro y evita las protecciones del usuario final».
«Un atacante que abusa con éxito de Noauth podría no solo obtener acceso a los datos de la aplicación SaaS, sino también potencialmente para pivotar en los recursos de Microsoft 365».
Semperis dijo que informó los hallazgos a Microsoft en diciembre de 2024, lo que llevó al fabricante de Windows a reiterar las recomendaciones que devolvió en 2023, coincidiendo con la divulgación pública de Noauth. También señaló que los proveedores que no cumplen con las pautas corren el riesgo de que sus aplicaciones se eliminen de la Galería de aplicaciones Entra.
Microsoft también ha enfatizado que el uso de reclamos distintos del identificador de sujeto (denominado reclamo «sub») para identificar de manera única a un usuario final en OpenID Connect no es conformada.
«Si una parte de OpenID Connect, confiar en cualquier otro reclamo en un token, además de una combinación del reclamo sub (sujeto) y el reclamo de ISS (emisor) como un identificador de cuenta principal en OpenID Connect, están rompiendo el contrato de expectativas entre el proveedor de identidad federada y la parte que confía», señaló en ese momento.
La mitigación de Noauth finalmente se basa en manos de los desarrolladores, que deben implementar adecuadamente la autenticación para evitar adquisiciones de cuentas mediante la creación de un identificador de usuario único e inmutable.
«Noauth abuso explota vulnerabilidades de inquilino cruzado y puede conducir a la exfiltración de datos de la aplicación SaaS, la persistencia y el movimiento lateral», dijo la compañía. «El abuso es difícil para los clientes de aplicaciones vulnerables para detectar e imposible para que los clientes de aplicaciones vulnerables se defiendan».
La divulgación se produce cuando Trend Micro reveló que los contenedores mal configurados o demasiado privilegiados en los entornos de Kubernetes pueden usarse para facilitar el acceso a credenciales sensibles de Amazon Web Services (AWS), lo que permite a los atacantes realizar actividades de seguimiento.
La compañía de ciberseguridad dijo que los atacantes pueden explotar los privilegios excesivos otorgados a los contenedores utilizando métodos como el olfateo de paquetes del tráfico HTTP no certificado para acceder a las credenciales de texto sin formato y la suplantación de API, que utiliza configuraciones de interfaz de red manipuladas (NIC) para interceptar tokens de autorización y obtener privilegios elevados.
«Los hallazgos (…) destacan consideraciones críticas de seguridad al usar Amazon EKS POD Identity para simplificar el acceso a los recursos de AWS en entornos de Kubernetes», dijo la investigadora de seguridad Jiri Gogela.
«Estas vulnerabilidades subrayan la importancia de adherirse al principio de menor privilegio, garantizar que las configuraciones de contenedores se alcancen adecuadamente y minimizan las oportunidades de explotación por parte de actores maliciosos».