nOAuth sigue pasando desapercibido para los proveedores de SaaS, que quizá ni siquiera sepan qué deben buscar, y es casi imposible que las empresas se protejan contra él, lo que permite a los atacantes hacerse con el control de las cuentas y sustraer datos.
HOBOKEN, Nueva Jersey — 25 de junio de 2025 — Semperis, proveedor de soluciones de seguridad de identidad y ciberresiliencia basadas en inteligencia artificial, ha publicado hoy un nuevo estudio sobre una vulnerabilidad conocida de nOauth en Entra ID de Microsoft que permite la apropiación total de cuentas en aplicaciones SaaS vulnerables con un esfuerzo mínimo por parte del atacante, lo que supone un grave riesgo para las empresas que utilizan integraciones de Entra entre distintos inquilinos. Eric Woodruff, arquitecto jefe de identidad de Semperis, presentó sus conclusiones esta semana en el Troopers 2025 celebrado en Heidelberg, Alemania.
nOAuth fue dado a conocer por primera vez en 2023 por Omer Cohen, de Descope, quien puso de relieve una falla en la forma en que algunas aplicaciones SaaS implementan OpenID Connect. La investigación posterior de Semperis se centró en las aplicaciones integradas con Entra de la Galería de aplicaciones de Entra de Microsoft, identificando una amplia gama de aplicaciones que, más de un año después, seguían siendo vulnerables al abuso de nOAuth.
Descubierto mediante pruebas entre inquilinos, nOAuth aprovecha las configuraciones de la aplicación Entra ID que permiten el uso de direcciones de correo electrónico no verificadas como identificadores de usuario, un antipatrón conocido según los estándares de OpenID Connect. En estos casos, los atacantes solo necesitan un inquilino de Entra y la dirección de correo electrónico de la víctima para hacerse con el control de su cuenta SaaS. Las medidas de seguridad tradicionales, como la autenticación multifactorial (MFA), el acceso condicional y las políticas de «Zero Trust», no ofrecen protección alguna.
«Es fácil que los desarrolladores, aunque tengan buenas intenciones, sigan patrones inseguros sin darse cuenta y, en muchos casos, ni siquiera saben qué deben buscar», afirmó Woodruff. «Mientras tanto, los clientes se quedan sin ningún medio para detectar o detener el ataque, lo que convierte a esta amenaza en algo especialmente peligroso y persistente».
Protección contra la vulnerabilidad nOAuth
En una amplia prueba realizada con más de 100 aplicaciones SaaS integradas en Entra, Woodruff descubrió que casi el 10 % era vulnerable al abuso de nOAuth. Una vez que se aprovecha la vulnerabilidad, los atacantes pueden obtener acceso completo a la cuenta de un usuario en la aplicación SaaS, lo que les permite la exfiltración de datos, la persistencia y un posible movimiento lateral. El Centro de Respuesta de Seguridad de Microsoft (MSRC) aconseja a los proveedores de SaaS que sigan sus recomendaciones para evitar el abuso de nOAuth o se arriesguen a ser expulsados de la Galería de aplicaciones de Entra.
«El abuso de nOAuth es una grave amenaza a la que pueden verse expuestas muchas organizaciones», prosiguió Woodruff. «Requiere poco esfuerzo, apenas deja rastro y elude las medidas de protección de los usuarios finales. Hemos confirmado que sigue siendo posible explotar esta vulnerabilidad en muchas aplicaciones SaaS, lo que convierte esto en un llamamiento urgente a la acción. Animamos a los desarrolladores a que implementen las correcciones necesarias y ayuden a proteger a sus clientes antes de que esta vulnerabilidad sea explotada aún más».
Semperis comunicó sus hallazgos tanto a los proveedores afectados como a Microsoft a partir de diciembre de 2024. Aunque algunos proveedores han corregido desde entonces sus aplicaciones, otros siguen siendo vulnerables. Sin una correlación exhaustiva de los registros tanto de Entra ID como de la plataforma SaaS, detectar el uso indebido de nOAuth es prácticamente imposible.
Los investigadores de Semperis, pioneros en la detección de amenazas a la identidad, han anunciado recientemente nuevas capacidades de detección en Directory Services Protector de la empresa para defenderse contra BadSuccessor, una técnica de escalada de privilegios de alta gravedad que aprovecha una función recientemente introducida en Windows Server 2025. El año pasado, los investigadores de Semperis descubrieron Silver SAML, una nueva variante de la técnica Golden SAML de la era SolarWinds que elude las defensas estándar en aplicaciones integradas con Entra ID.
Para leer el blog de investigación completo, visita: https://www.semperis.com/blog/noauth-abuse-alert-full-account-takeover/
Acerca de Semperis
Semperis protege los servicios de identidad críticos de las empresas para los equipos de seguridad encargados de defender entornos híbridos y multinube. Diseñada específicamente para proteger entornos de identidad híbridos —como Active Directory, Entra ID y Okta—, la tecnología de Semperis, basada en inteligencia artificial, protege más de 100 millones de identidades frente a ciberataques, filtraciones de datos y errores operativos.
Como parte de su misión de ser una fuerza para el bien, Semperis ofrece diversos recursos para la comunidad cibernética, entre los que se incluyen lagalardonada Conferencia sobre Protección Híbrida de la Identidad (HIP),el podcast HIP y herramientas gratuitas de seguridad de la identidad Purple Knight y Forest Druid. Semperis es una empresa internacional de capital privado con sede en Hoboken, Nueva Jersey, que presta apoyo a las marcas y organismos gubernamentales más importantes del mundo, con clientes en más de 40 países.
Más información:https://www.semperis.com
Síguenos: Blog / LinkedIn / X / Facebook /YouTube
Contacto para los medios de comunicación:
Bill Keeler
Director sénior de Relaciones Públicas y Comunicación
Semperis
billk@semperis.com
