nOAuth continua a passare inosservato ai fornitori di servizi SaaS, che potrebbero non sapere nemmeno cosa cercare, ed è quasi impossibile per i clienti aziendali difendersi da questa minaccia, consentendo agli hacker di assumere il controllo degli account e sottrarre dati.

HOBOKEN, N.J. — 25 giugno 2025 — Semperis, fornitore di soluzioni di sicurezza delle identità e resilienza informatica basate sull’intelligenza artificiale, ha pubblicato oggi una nuova ricerca su una vulnerabilità nota di nOauth in Microsoft Entra ID che consente il completo controllo dell’account in applicazioni SaaS vulnerabili con uno sforzo minimo da parte dell’autore dell’attacco, rappresentando un grave rischio per le aziende che si affidano a integrazioni Entra tra tenant. Eric Woodruff, Chief Identity Architect di Semperis, ha presentato i risultati della ricerca questa settimana al Troopers 2025 a Heidelberg, in Germania.

nOAuth è stato reso noto per la prima volta nel 2023 da Omer Cohen di Descope, che ha evidenziato una falla nel modo in cui alcune applicazioni SaaS implementano OpenID Connect. La ricerca successiva condotta da Semperis si è concentrata sulle applicazioni integrate con Entra presenti nella Entra Application Gallery di Microsoft, individuando un’ampia gamma di applicazioni che, a distanza di oltre un anno, risultano ancora vulnerabili agli attacchi nOAuth.

Scoperto tramite test tra tenant, nOAuth sfrutta le configurazioni dell'app Entra ID che consentono l'utilizzo di indirizzi e-mail non verificati come identificatori utente, un anti-pattern noto secondo gli standard OpenID Connect. In questi scenari, agli aggressori bastano un tenant Entra e l'indirizzo e-mail della vittima per assumere il controllo dell'account SaaS della stessa. Le misure di sicurezza tradizionali come l'autenticazione a più fattori (MFA), l'accesso condizionale e le politiche Zero Trust non offrono alcuna protezione.

«È facile che gli sviluppatori, pur con le migliori intenzioni, seguano modelli non sicuri senza rendersene conto e, in molti casi, non sanno nemmeno cosa cercare», ha affermato Woodruff. «Nel frattempo, i clienti non hanno alcun modo per individuare o bloccare l’attacco, il che rende questa minaccia particolarmente pericolosa e persistente».

Protezione contro la vulnerabilità nOAuth

In un ampio test condotto su oltre 100 applicazioni SaaS integrate con Entra, Woodruff ha riscontrato che quasi il 10% era vulnerabile ad abusi di nOAuth. Una volta sfruttata la vulnerabilità, gli aggressori possono ottenere l'accesso completo all'account di un utente nell'applicazione SaaS, consentendo l'esfiltrazione dei dati, la persistenza e potenziali movimenti laterali. Il Microsoft Security Response Center (MSRC) consiglia ai fornitori SaaS di seguire le sue raccomandazioni per prevenire l'abuso di nOAuth o rischiare l'espulsione dalla Entra Application Gallery.

«L'abuso di nOAuth rappresenta una grave minaccia a cui molte organizzazioni potrebbero essere esposte», ha proseguito Woodruff. «Richiede uno sforzo minimo, non lascia quasi tracce e aggira le protezioni degli utenti finali. Abbiamo verificato che lo sfruttamento di questa vulnerabilità è ancora possibile in molte applicazioni SaaS, il che rende questo appello all'azione particolarmente urgente. Incoraggiamo gli sviluppatori ad applicare le correzioni necessarie e a contribuire alla protezione dei propri clienti prima che questa vulnerabilità venga ulteriormente sfruttata».

A partire dal dicembre 2024, Semperis ha comunicato i propri risultati sia ai fornitori interessati che a Microsoft. Sebbene alcuni fornitori abbiano nel frattempo risolto il problema nelle loro applicazioni, altri rimangono vulnerabili. Senza un'approfondita correlazione dei log tra Entra ID e la piattaforma SaaS, individuare gli abusi di nOAuth è praticamente impossibile.

I ricercatori di Semperis, pionieri nel rilevamento delle minacce all'identità, hanno recentemente annunciato nuove funzionalità di rilevamento nella Directory Services Protector dell'azienda per difendersi da BadSuccessor, una tecnica di escalation dei privilegi ad alto rischio che prende di mira una funzionalità introdotta di recente in Windows Server 2025. Lo scorso anno, i ricercatori di Semperis hanno scoperto Silver SAML, una nuova variante della tecnica Golden SAML dell'era SolarWinds che aggira le difese standard nelle applicazioni integrate con Entra ID.

Per leggere l'articolo completo sul blog dedicato alla ricerca, visita il sito: https://www.semperis.com/blog/noauth-abuse-alert-full-account-takeover/

Informazioni su Semperis  

Semperis protegge i servizi di identità aziendali critici per i team di sicurezza incaricati di difendere gli ambienti ibridi e multi-cloud. Progettata appositamente per proteggere gli ambienti di identità ibridi — tra cui Active Directory, Entra ID e Okta — la tecnologia basata sull'intelligenza artificiale di Semperis protegge oltre 100 milioni di identità da attacchi informatici, violazioni dei dati ed errori operativi. 

Nell'ambito della sua missione di essere una forza positiva, Semperis offre una serie di risorse per la comunità informatica, tra cui lapluripremiata conferenza Hybrid Identity Protection (HIP),il podcast HIP e strumenti gratuiti per la sicurezza dell'identità Purple Knight e Forest Druid. Semperis è un'azienda internazionale a capitale privato con sede a Hoboken, nel New Jersey, che supporta i più grandi marchi e le agenzie governative del mondo, con clienti in oltre 40 paesi.  

Per saperne di più:https://www.semperis.com 

Seguici su: Blog / LinkedIn / X / Facebook /YouTube 

Contatti per i media

Bill Keeler 
Direttore senior, Relazioni pubbliche e comunicazione 
Semperis 
billk@semperis.com