Una nueva investigación revela los riesgos continuos de las debilidades de seguridad conocidas en la identificación de Entra de Microsoft, lo que permite a los actores maliciosos lograr adquisiciones de cuentas con aplicaciones de software confidencial (SaaS).
La compañía de seguridad de identidad Semperis ha encontrado en un análisis de 104 aplicaciones SaaS de que nueve de ellas son vulnerables al abuso de ENTRA INTRA de noauth.
Noauth, revelada por primera vez por Descope en junio de 2023, se refiere a la debilidad de la forma en que las aplicaciones SaaS implementan OpenID Connect (OIDC). Esto se refiere a la capa de autenticación construida sobre OAuth para verificar la identidad del usuario.
Debido a los defectos en la implementación de la autenticación, los actores esencialmente malos pueden cambiar el atributo de correo electrónico de su cuenta de ID de Entrra al correo electrónico de la víctima y aprovechar la función «Iniciar sesión con Microsoft» de la aplicación para secuestrar esa cuenta.
El ataque es trivial, pero funciona porque la ID de Entra permite a los usuarios tener direcciones de correo electrónico no identificadas y permite a los usuarios abrir la puerta a la suplantación a través de los límites del inquilino.
También aprovecha el hecho de que las aplicaciones que usan múltiples proveedores de identidad (como Google, Facebook o Microsoft) podrían permitir a los atacantes iniciar sesión en la cuenta del usuario objetivo simplemente porque su dirección de correo electrónico se usa como el único criterio para fusionar cuentas.
El modelo de amenaza de Semperis se centra en las variantes de Noauth, específicamente en encontrar aplicaciones que permitan el acceso al inquilino cruzado Entra ID. En otras palabras, tanto el atacante como la víctima viajan en dos inquilinos diferentes de Entra Id.
«El abuso de Noauth es una amenaza grave a la que muchas organizaciones pueden estar expuestas», dijo Eric Woodruff, jefe de identidad de Semperis. «Bajo esfuerzo, pequeños rastros, omitiendo la protección del usuario final».
«Los ataques que abusan con éxito de Noauth no solo pueden tener acceso a los datos de la aplicación SaaS, sino que también podrían pivotar a los recursos de Microsoft 365».
Semperis informó sus hallazgos a Microsoft en diciembre de 2024, instándolo a reiterar repetidamente las recomendaciones que presentó al fabricante de Windows en 2023, instando a que coincida con la publicación de Noauth. También señalamos que los proveedores que no cumplen con las pautas corren el riesgo de eliminar sus aplicaciones de la Galería de aplicaciones Entra.
Microsoft también enfatiza que el uso de reclamos distintos de los identificadores de sujetos para identificar de manera exclusiva al usuario final de OpenID Connect (llamado reclamos «sub») no cumple.
«Si una parte que depende de OpenID Connect usa una combinación de reclamos SUB (SUMS) y ISS (emisor), más otras reclamaciones como identificadores de cuenta principales de OpenID Connect, romperá el acuerdo esperado entre el proveedor de identificación federada y la parte que confía».
Mitigating Noauth está, en última instancia, en manos de los desarrolladores. Los desarrolladores deben implementar adecuadamente la autenticación para evitar adquisiciones de cuentas mediante la creación de identificadores de usuarios únicos e inmutables.
«Noauth abuse puede promover la vulnerabilidad del inquilino y conducir a la delaminación, la persistencia y el movimiento lateral de los datos de la aplicación SaaS», dijo la compañía. «Es difícil para los clientes detectar aplicaciones vulnerables para hacerlo, y es imposible que los clientes se defiendan».
Esta divulgación se debe a que Trend Micro ha revelado que utiliza contenedores mal configurados o demasiado privilegiados en un entorno de Kubernetes para facilitar el acceso a credenciales sensibles de Amazon Web Services (AWS), lo que permite a los atacantes llevar a cabo actividades posteriores.
La compañía de seguridad cibernética dijo que los atacantes pueden acceder a las credenciales de texto sin formato y la suplantación de API aprovechando los privilegios excesivos otorgados a los contenedores utilizando métodos como el olfateo de paquetes para el tráfico HTTP sin cifrar.
«Los hallazgos (…) destacan importantes consideraciones de seguridad cuando se utilizan ID de Amazon EKS POD para simplificar el acceso a los recursos de AWS en entornos de Kubernetes», dijo la investigadora de seguridad Jiri Gogela.
«Estas vulnerabilidades subrayan la importancia de adherirse al principio de menor privilegio y tener configuraciones de contenedores adecuadamente y minimizar las oportunidades de explotación por parte de actores maliciosos».
Source link
