Una recente analisi sulla sicurezza informatica ha evidenziato come il rischio legato alla vulnerabilità nOAuth in Microsoft Entra ID sia ancora attuale e sottovalutato. Nonostante la falla sia stata resa pubblica nel giugno 2023, il 9 percento delle applicazioni SaaS che utilizzano Microsoft Entra rimane vulnerabile a questo tipo di attacco, mettendo a rischio la sicurezza degli account aziendali e personali.

nOAuth: origine della vulnerabilità

nOAuth è una debolezza che nasce da una cattiva implementazione di OpenID Connect (OIDC), uno standard di autenticazione spesso utilizzato insieme a OAuth. Il problema principale consiste nella possibilità per un attaccante di modificare l’attributo mail di un account Entra ID, sostituendolo con quello della vittima. Questo consente all’aggressore di sfruttare la funzione “Accedi con Microsoft” e prendere il controllo dell’account senza lasciare tracce evidenti.

Fattori che amplificano il rischio

Il rischio viene amplificato dal fatto che Entra ID consente agli utenti di avere indirizzi email non verificati. In ambienti SaaS che accettano più fornitori di identità (come Google, Facebook o Microsoft), ciò può portare a una fusione errata degli account, dove chiunque conosca l’email della vittima può autenticarsi come lei. Questo scenario è particolarmente critico in contesti cross-tenant, dove attaccante e vittima appartengono a tenant diversi di Entra ID.

La facilità di esecuzione dell’attacco e la difficoltà di rilevamento lo rendono una minaccia significativa, soprattutto perché permette non solo l’accesso ai dati dell’applicazione SaaS, ma anche la possibilità di muoversi lateralmente verso risorse Microsoft 365 più sensibili.

Le raccomandazioni di Microsoft

Microsoft ha ribadito l’importanza di adottare come identificatore unico l’attributo “sub” (subject) unito a “iss” (issuer) secondo lo standard OpenID Connect. L’utilizzo di altri attributi, come l’email, viola le best practice di sicurezza e può compromettere la fiducia nel sistema di autenticazione federata. Gli sviluppatori sono quindi chiamati a implementare correttamente l’autenticazione, generando identificatori univoci e immutabili per ogni utente.

Il rischio nOAuth mostra quanto sia fondamentale per le organizzazioni e i provider SaaS aggiornare le proprie pratiche di sicurezza, adottando configurazioni rigorose e testando le proprie applicazioni contro scenari di abuso cross-tenant. Solo così sarà possibile proteggere davvero gli utenti e i dati sensibili da attacchi che, ancora oggi, risultano troppo semplici da realizzare.