Sicherheitslücke in Microsoft Entra ID: nOAuth bleibt ein Risiko

LONDON (IT BOLTWISE) – Zwei Jahre nach der Entdeckung der nOAuth-Sicherheitslücke in Microsofts Entra ID bleibt das Risiko für SaaS-Anwendungen bestehen. Neue Untersuchungen zeigen, dass 9 % der analysierten Anwendungen weiterhin anfällig sind.

Die Sicherheitslücke nOAuth in Microsofts Entra ID stellt weiterhin ein erhebliches Risiko für Software-as-a-Service (SaaS)-Anwendungen dar. Trotz der Entdeckung dieser Schwachstelle vor zwei Jahren sind immer noch 9 % der untersuchten Anwendungen anfällig für Angriffe. Diese Schwachstelle ermöglicht es Angreifern, die Kontrolle über Benutzerkonten zu übernehmen, indem sie die Implementierung von OpenID Connect (OIDC) in den Anwendungen ausnutzen.

nOAuth, erstmals im Juni 2023 von Descope offengelegt, beschreibt eine Schwäche in der Art und Weise, wie SaaS-Anwendungen OIDC implementieren. Diese Authentifizierungsschicht, die auf OAuth aufbaut, dient der Verifizierung der Benutzeridentität. Ein Angreifer kann die E-Mail-Adresse im Entra ID-Konto ändern, um die “Log in with Microsoft”-Funktion zu missbrauchen und das Konto zu kapern.

Ein wesentlicher Faktor, der diesen Angriff ermöglicht, ist die Erlaubnis von Entra ID, dass Benutzer eine unbestätigte E-Mail-Adresse haben können. Dies öffnet Tür und Tor für Benutzerimitationen über Mandantengrenzen hinweg. Besonders gefährdet sind Anwendungen, die mehrere Identitätsanbieter nutzen, da sie möglicherweise einem Angreifer erlauben, sich mit der E-Mail-Adresse eines Zielbenutzers anzumelden.

Semperis, ein Unternehmen für Identitätssicherheit, hat in seiner Analyse von 104 SaaS-Anwendungen neun als anfällig für nOAuth-Missbrauch identifiziert. Diese Anwendungen erlauben Entra ID-Zugriff über Mandantengrenzen hinweg, was bedeutet, dass sowohl der Angreifer als auch das Opfer in unterschiedlichen Entra ID-Mandanten sind.

Eric Woodruff, Chief Identity Architect bei Semperis, betont die Schwere der Bedrohung: “nOAuth-Missbrauch ist eine ernsthafte Bedrohung, der viele Organisationen ausgesetzt sein könnten. Der Angriff erfordert wenig Aufwand, hinterlässt kaum Spuren und umgeht Endnutzer-Schutzmaßnahmen.”

Microsoft hat auf die Berichte von Semperis reagiert, indem es seine Empfehlungen aus dem Jahr 2023 bekräftigte. Entwickler müssen sicherstellen, dass sie eine einzigartige, unveränderliche Benutzerkennung implementieren, um Kontoübernahmen zu verhindern. Microsoft betont, dass die Verwendung anderer Ansprüche als der Subjekt-Identifikator in OpenID Connect nicht konform ist.

Die Offenlegung dieser Schwachstelle erfolgt zeitgleich mit Berichten von Trend Micro über Sicherheitsprobleme in Kubernetes-Umgebungen, die durch falsch konfigurierte oder übermäßig privilegierte Container entstehen. Diese könnten Angreifern Zugang zu sensiblen AWS-Anmeldeinformationen verschaffen.

Die Wichtigkeit, die Prinzipien der minimalen Rechtevergabe zu befolgen und Containerkonfigurationen angemessen abzugrenzen, wird durch diese Erkenntnisse unterstrichen. Die Sicherheitslücken verdeutlichen die Notwendigkeit, die Möglichkeiten zur Ausnutzung durch böswillige Akteure zu minimieren.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!