LONDON (IT BOLTWISE) – Zwei Jahre nach der Entdeckung der nOAuth-Sicherheitslücke in Microsofts Entra ID bleibt das Risiko für SaaS-Anwendungen bestehen. Neue Untersuchungen zeigen, dass 9 % der analysierten Anwendungen weiterhin anfällig sind.
Die Sicherheitslücke nOAuth in Microsofts Entra ID stellt weiterhin ein erhebliches Risiko für Software-as-a-Service (SaaS)-Anwendungen dar. Trotz der Entdeckung dieser Schwachstelle vor zwei Jahren sind immer noch 9 % der untersuchten Anwendungen anfällig für Angriffe. Diese Schwachstelle ermöglicht es Angreifern, die Kontrolle über Benutzerkonten zu übernehmen, indem sie die Implementierung von OpenID Connect (OIDC) in den Anwendungen ausnutzen.
nOAuth, erstmals im Juni 2023 von Descope offengelegt, beschreibt eine Schwäche in der Art und Weise, wie SaaS-Anwendungen OIDC implementieren. Diese Authentifizierungsschicht, die auf OAuth aufbaut, dient der Verifizierung der Benutzeridentität. Ein Angreifer kann die E-Mail-Adresse im Entra ID-Konto ändern, um die “Log in with Microsoft”-Funktion zu missbrauchen und das Konto zu kapern.
Ein wesentlicher Faktor, der diesen Angriff ermöglicht, ist die Erlaubnis von Entra ID, dass Benutzer eine unbestätigte E-Mail-Adresse haben können. Dies öffnet Tür und Tor für Benutzerimitationen über Mandantengrenzen hinweg. Besonders gefährdet sind Anwendungen, die mehrere Identitätsanbieter nutzen, da sie möglicherweise einem Angreifer erlauben, sich mit der E-Mail-Adresse eines Zielbenutzers anzumelden.
Semperis, ein Unternehmen für Identitätssicherheit, hat in seiner Analyse von 104 SaaS-Anwendungen neun als anfällig für nOAuth-Missbrauch identifiziert. Diese Anwendungen erlauben Entra ID-Zugriff über Mandantengrenzen hinweg, was bedeutet, dass sowohl der Angreifer als auch das Opfer in unterschiedlichen Entra ID-Mandanten sind.
Eric Woodruff, Chief Identity Architect bei Semperis, betont die Schwere der Bedrohung: “nOAuth-Missbrauch ist eine ernsthafte Bedrohung, der viele Organisationen ausgesetzt sein könnten. Der Angriff erfordert wenig Aufwand, hinterlässt kaum Spuren und umgeht Endnutzer-Schutzmaßnahmen.”
Microsoft hat auf die Berichte von Semperis reagiert, indem es seine Empfehlungen aus dem Jahr 2023 bekräftigte. Entwickler müssen sicherstellen, dass sie eine einzigartige, unveränderliche Benutzerkennung implementieren, um Kontoübernahmen zu verhindern. Microsoft betont, dass die Verwendung anderer Ansprüche als der Subjekt-Identifikator in OpenID Connect nicht konform ist.
Die Offenlegung dieser Schwachstelle erfolgt zeitgleich mit Berichten von Trend Micro über Sicherheitsprobleme in Kubernetes-Umgebungen, die durch falsch konfigurierte oder übermäßig privilegierte Container entstehen. Diese könnten Angreifern Zugang zu sensiblen AWS-Anmeldeinformationen verschaffen.
Die Wichtigkeit, die Prinzipien der minimalen Rechtevergabe zu befolgen und Containerkonfigurationen angemessen abzugrenzen, wird durch diese Erkenntnisse unterstrichen. Die Sicherheitslücken verdeutlichen die Notwendigkeit, die Möglichkeiten zur Ausnutzung durch böswillige Akteure zu minimieren.
- Die besten Bücher rund um KI & Robotik!
- Die besten KI-News kostenlos per eMail erhalten!
- Zur Startseite von IT BOLTWISE® für aktuelle KI-News!
- IT BOLTWISE® kostenlos auf Patreon unterstützen!
- Aktuelle KI-Jobs auf StepStone finden und bewerben!
Stellenangebote
Senior Consultant AI Governance, Compliance & Risk (m/w/d)
Werkstudent für den Tribe Contact Center & Conversational AI (m/w/d)
Product Architect (m/w/d) Submarine Systems/ACINT mit Schwerpunkt KI/AR
KI-Künstliche Intelligenz Gaming Manager (m/w/d) – Quereinsteiger willkommen! in Herne
- Die Zukunft von Mensch und MaschineIm neuen Buch des renommierten Zukunftsforschers und Technologie-Visionärs Ray Kurzweil wird eine faszinierende Vision der kommenden Jahre und Jahrzehnte entworfen – eine Welt, die von KI durchdrungen sein wird
- Künstliche Intelligenz: Expertenwissen gegen Hysterie Der renommierte Gehirnforscher, Psychiater und Bestseller-Autor Manfred Spitzer ist ein ausgewiesener Experte für neuronale Netze, auf denen KI aufbaut
- Obwohl Künstliche Intelligenz (KI) derzeit in aller Munde ist, setzen bislang nur wenige Unternehmen die Technologie wirklich erfolgreich ein
- Wie funktioniert Künstliche Intelligenz (KI) und gibt es Parallelen zum menschlichen Gehirn? Was sind die Gemeinsamkeiten von natürlicher und künstlicher Intelligenz, und was die Unterschiede? Ist das Gehirn nichts anderes als ein biologischer Computer? Was sind Neuronale Netze und wie kann der Begriff Deep Learning einfach erklärt werden?Seit der kognitiven Revolution Mitte des letzten Jahrhunderts sind KI und Hirnforschung eng miteinander verflochten
Du hast einen wertvollen Beitrag oder Kommentar zum Artikel "Sicherheitslücke in Microsoft Entra ID: nOAuth bleibt ein Risiko" für unsere Leser?
#Sophos
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Du möchtest über ähnliche News und Beiträge wie "Sicherheitslücke in Microsoft Entra ID: nOAuth bleibt ein Risiko" informiert werden? Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.
Nutze die Google-Suchmaschine für eine weitere Themenrecherche: »Sicherheitslücke in Microsoft Entra ID: nOAuth bleibt ein Risiko« bei Google Deutschland suchen, bei Bing oder Google News!