nOAuth bleibt von SaaS-Anbietern weiterhin unentdeckt, da diese möglicherweise gar nicht wissen, worauf sie achten müssen, und für Unternehmenskunden ist es nahezu unmöglich, sich dagegen zu schützen, sodass Angreifer Konten übernehmen und Daten abziehen können.
HOBOKEN, N.J. — 25. Juni 2025 — Semperis, ein Anbieter von KI-gestützten Lösungen für Identitätssicherheit und Cyber-Resilienz, hat heute neue Forschungsergebnisse zu einer bekannten nOauth-Sicherheitslücke in Microsofts Entra ID veröffentlicht. Diese ermöglicht Angreifern mit minimalem Aufwand die vollständige Übernahme von Konten in anfälligen SaaS-Anwendungen und stellt somit ein erhebliches Risiko für Unternehmen dar, die auf mandantenübergreifende Entra-Integrationen setzen. Eric Woodruff, Chief Identity Architect bei Semperis, stellte seine Ergebnisse diese Woche auf der Troopers 2025 in Heidelberg vor.
nOAuth wurde erstmals im Jahr 2023 von Omer Cohen von Descope bekannt gemacht, wobei er auf eine Schwachstelle bei der Implementierung von OpenID Connect in einigen SaaS-Anwendungen hinwies. Die nachfolgenden Untersuchungen von Semperis konzentrierten sich auf in Entra integrierte Anwendungen in der Microsoft Entra Application Gallery und ergaben, dass auch mehr als ein Jahr später noch eine Vielzahl von Anwendungen für den Missbrauch von nOAuth anfällig ist.
nOAuth wurde im Rahmen von mandantenübergreifenden Tests entdeckt und nutzt Konfigurationen der Entra ID-Anwendung aus, die unüberprüfte E-Mail-Angaben als Benutzerkennungen zulassen – ein bekanntes Anti-Pattern gemäß den OpenID Connect-Standards. In solchen Szenarien benötigen Angreifer lediglich einen Entra-Mandanten und die E-Mail-Adresse des Opfers, um die Kontrolle über dessen SaaS-Konto zu erlangen. Herkömmliche Sicherheitsmaßnahmen wie MFA, bedingter Zugriff und Zero-Trust-Richtlinien bieten keinen Schutz.
„Es passiert leicht, dass gut gemeinte Entwickler unbewusst unsichere Muster anwenden, und in vielen Fällen wissen sie gar nicht, worauf sie achten müssen“, sagte Woodruff. „Gleichzeitig haben Kunden keine Möglichkeit, den Angriff zu erkennen oder zu stoppen, was dies zu einer besonders gefährlichen und hartnäckigen Bedrohung macht.“
Schutz vor der nOAuth-Sicherheitslücke
Bei einem umfassenden Test von mehr als 100 in Entra integrierten SaaS-Anwendungen stellte Woodruff fest, dass fast 10 % anfällig für nOAuth-Missbrauch waren. Wird diese Schwachstelle ausgenutzt, können Angreifer vollständigen Zugriff auf das Benutzerkonto in der SaaS-Anwendung erlangen, was Datenexfiltration, Persistenz und potenzielle laterale Bewegung ermöglicht. Das Microsoft Security Response Center (MSRC) rät SaaS-Anbietern, seine Empfehlungen zu befolgen, um einen Missbrauch von nOAuth zu verhindern, da ihnen andernfalls der Ausschluss aus der Entra Application Gallery droht.
„Der Missbrauch von nOAuth stellt eine ernsthafte Bedrohung dar, der viele Unternehmen ausgesetzt sein könnten“, fuhr Woodruff fort. „Er ist mit geringem Aufwand verbunden, hinterlässt fast keine Spuren und umgeht die Schutzmaßnahmen für Endnutzer. Wir haben bestätigt, dass eine Ausnutzung in vielen SaaS-Anwendungen nach wie vor möglich ist, weshalb dringender Handlungsbedarf besteht. Wir fordern Entwickler auf, die erforderlichen Korrekturen vorzunehmen und zum Schutz ihrer Kunden beizutragen, bevor diese Schwachstelle weiter ausgenutzt wird.“
Semperis hat seine Erkenntnisse ab Dezember 2024 sowohl den betroffenen Anbietern als auch Microsoft gemeldet. Während einige Anbieter ihre Anwendungen inzwischen sicherheitstechnisch angepasst haben, sind andere weiterhin anfällig. Ohne eine umfassende Protokollkorrelation zwischen Entra ID und der SaaS-Plattform ist es nahezu unmöglich, einen Missbrauch von nOAuth aufzudecken.
Die Forscher von Semperis, Pioniere auf dem Gebiet der Erkennung von Identitätsbedrohungen, haben kürzlich neue Erkennungsfunktionen für die Directory Services Protector des Unternehmens angekündigt, um Schutz vor „BadSuccessor“ zu bieten – einer besonders schwerwiegenden Technik zur Rechteausweitung, die auf eine neu eingeführte Funktion in Windows Server 2025 abzielt. Im vergangenen Jahr entdeckten die Forscher von Semperis „Silver SAML“, eine neue Variante der aus der SolarWinds-Ära stammenden „Golden SAML“-Technik, die die Standardschutzmaßnahmen in mit Entra ID integrierten Anwendungen umgeht.
Den vollständigen Forschungsblog finden Sie unter: https://www.semperis.com/blog/noauth-abuse-alert-full-account-takeover/
Über Semperis
Semperis schützt kritische Identitätsdienste für Unternehmen, deren Sicherheitsteams für die Verteidigung von Hybrid- und Multi-Cloud-Umgebungen verantwortlich sind. Die speziell für die Sicherung hybrider Identitätsumgebungen – darunter Active Directory, Entra ID und Okta – entwickelte KI-gestützte Technologie von Semperis schützt über 100 Millionen Identitäten vor Cyberangriffen, Datenverletzungen und Betriebsfehlern.
Im Rahmen seiner Mission, sich für das Gute einzusetzen, bietet Semperis eine Vielzahl von Ressourcen für die Cyber-Community an, darunter diepreisgekrönte Hybrid Identity Protection (HIP) Conference,den HIP-Podcast und kostenlose Tools für die Identitätssicherheit. Purple Knight und Forest Druid. Semperis ist ein privates, internationales Unternehmen mit Hauptsitz in Hoboken, New Jersey, das die weltweit größten Marken und Regierungsbehörden unterstützt und Kunden in mehr als 40 Ländern hat.
Weitere Informationen:https://www.semperis.com
Bitte folgen Sie uns:Blog/ LinkedIn / X / Facebook /YouTube
Medienkontakt:
Bill Keeler,
, Senior Director, PR & Comms,
, Semperis,
, billk@semperis.com
