O nOAuth continua a passar despercebido pelos fornecedores de SaaS, que podem nem sequer saber o que procurar, e é quase impossível para os clientes empresariais se defenderem contra ele, permitindo que os atacantes assumam o controlo de contas e extraiam dados.
HOBOKEN, N.J. — 25 de junho de 2025 — A Semperis, fornecedora de soluções de segurança de identidade e resiliência cibernética baseadas em IA, divulgou hoje uma nova investigação sobre uma vulnerabilidade conhecida do nOauth no Entra ID da Microsoft, que permite a apropriação total de contas em aplicações SaaS vulneráveis com um esforço mínimo por parte do atacante, representando um risco grave para as empresas que dependem de integrações do Entra entre inquilinos. Eric Woodruff, arquiteto-chefe de identidade da Semperis, apresentou as suas conclusões esta semana no Troopers 2025, em Heidelberg, na Alemanha.
O nOAuth foi divulgado pela primeira vez em 2023 por Omer Cohen, da Descope, que destacou uma falha na forma como algumas aplicações SaaS implementam o OpenID Connect. A investigação de acompanhamento da Semperis centrou-se nas aplicações integradas no Entra, disponíveis na Entra Application Gallery da Microsoft, identificando uma vasta gama de aplicações que, mais de um ano depois, continuavam vulneráveis ao abuso do nOAuth.
Descoberta através de testes entre inquilinos, a vulnerabilidade nOAuth explora configurações da aplicação Entra ID que permitem a utilização de endereços de e-mail não verificados como identificadores de utilizador, um anti-padrão conhecido de acordo com as normas OpenID Connect. Nestes cenários, os atacantes precisam apenas de um inquilino Entra e do endereço de e-mail do alvo para assumir o controlo da conta SaaS da vítima. As medidas de segurança tradicionais, como a autenticação multifator (MFA), o acesso condicional e as políticas Zero Trust, não oferecem qualquer proteção.
«É fácil para os programadores bem-intencionados seguirem padrões inseguros sem se aperceberem disso e, em muitos casos, nem sequer sabem o que procurar», afirmou Woodruff. «Entretanto, os clientes ficam sem qualquer forma de detetar ou impedir o ataque, o que torna esta ameaça especialmente perigosa e persistente.»
Proteção contra a vulnerabilidade nOAuth
Num teste abrangente a mais de 100 aplicações SaaS integradas no Entra, a Woodruff constatou que quase 10% estavam vulneráveis ao abuso do nOAuth. Uma vez explorada a vulnerabilidade, os atacantes podem obter acesso total à conta de um utilizador na aplicação SaaS, permitindo a exfiltração de dados, a persistência e um potencial movimento lateral. O Microsoft Security Response Center (MSRC) aconselha os fornecedores de SaaS a seguirem as suas recomendações para evitar o abuso do nOAuth, sob pena de expulsão da Entra Application Gallery.
«O abuso do nOAuth constitui uma grave ameaça à qual muitas organizações podem estar expostas», continuou Woodruff. «É fácil de executar, quase não deixa rasto e contorna as proteções do utilizador final. Confirmámos que a exploração continua a ser possível em muitas aplicações SaaS, o que torna este um apelo urgente à ação. Encorajamos os programadores a implementarem as correções necessárias e a ajudarem a proteger os seus clientes antes que esta falha seja explorada ainda mais.»
A Semperis comunicou as suas conclusões tanto aos fornecedores afetados como à Microsoft, a partir de dezembro de 2024. Embora alguns fornecedores tenham, desde então, corrigido as suas aplicações, outros continuam vulneráveis. Sem uma correlação aprofundada dos registos entre o Entra ID e a plataforma SaaS, é praticamente impossível detetar abusos do nOAuth.
Os investigadores da Semperis, pioneiros na deteção de ameaças à identidade, anunciaram recentemente novas capacidades de deteção na Directory Services Protector da empresa para proteger contra o BadSuccessor, uma técnica de escalada de privilégios de alta gravidade que tem como alvo uma funcionalidade recentemente introduzida no Windows Server 2025. No ano passado, os investigadores da Semperis descobriram o Silver SAML, uma nova variante da técnica Golden SAML da era SolarWinds que contorna as defesas padrão em aplicações integradas com o Entra ID.
Para ler o blogue de investigação na íntegra, visite: https://www.semperis.com/blog/noauth-abuse-alert-full-account-takeover/
Sobre a Semperis
A Semperis protege serviços críticos de identidade empresarial para equipas de segurança encarregadas de defender ambientes híbridos e multicloud. Concebida especificamente para proteger ambientes de identidade híbridos — incluindo Active Directory, Entra ID e Okta —, a tecnologia alimentada por IA da Semperis protege mais de 100 milhões de identidades contra ciberataques, violações de dados e erros operacionais.
Como parte da sua missão de ser uma força para o bem, a Semperis oferece uma variedade de recursos para a comunidade cibernética, incluindo apremiada Conferência Hybrid Identity Protection (HIP),o Podcast HIP e ferramentas gratuitas de segurança de identidade Purple Knight e Forest Druid. A Semperis é uma empresa internacional privada com sede em Hoboken, Nova Jérsia, que apoia as maiores marcas e agências governamentais do mundo, com clientes em mais de 40 países.
Saiba mais:https://www.semperis.com
Siga-nos: Blog / LinkedIn / X / Facebook /YouTube
Contato com a mídia:
Bill Keeler
Diretor sénior, Relações Públicas e Comunicação
Semperis
billk@semperis.com
