Безопасность облачных приложений продолжает оставаться одной из самых актуальных тем в сфере информационной безопасности. Несмотря на активные усилия компаний и постоянные обновления технологий, некоторые критические уязвимости сохраняются в системах на протяжении длительного времени, создавая риск для миллионов пользователей. Одним из ярких примеров такой проблемы стала уязвимость nOAuth, которая была впервые обнародована в июне 2023 года и, как показали недавние исследования, всё ещё затрагивает около 9% SaaS-приложений, работающих в экосистеме Microsoft Entra. nOAuth представляет собой критическую слабость в реализации OpenID Connect — протокола аутентификации, построенного поверх OAuth, который широко используется для проверки подлинности пользователей в различных онлайн-службах. Главная проблема связана с тем, что в ряде случаев приложения неверно идентифицируют пользователя, ориентируясь на электронный адрес, который может быть не подтверждён, что создает лазейку для злоумышленников.
Самая опасная часть уязвимости связана с возможностью злоумышленника изменить почтовый атрибут в идентификаторе Entra ID на адрес жертвы. Это позволяет захватить учётную запись, воспользовавшись функцией «Войти через Microsoft», при этом обходя многие стандартные меры безопасности. Особенно тревожным фактором является то, что атака может быть проведена с минимальными усилиями, практически не оставляя следов, а также обходя защиту конечного пользователя. Уязвимость nOAuth связана с особенностями работы Microsoft Entra ID, которая позволяет иметь неподтверждённый адрес электронной почты, а также с тем, что приложения, использующие несколько провайдеров аутентификации (например, Google, Facebook, Microsoft), могут по ошибке считать электронную почту единственным уникальным идентификатором. В результате злоумышленник, обладающий контролем над учетной записью на одном из провайдеров, может получить несанкционированный доступ к аккаунту на другом.
Анализ 104 SaaS-приложений, проведённый компанией Semperis, показал, что 9 из них оказались уязвимыми к межтенантной эксплуатации nOAuth. Это означает, что злоумышленник и жертва находятся в разных тенантах Microsoft Entra, и при этом злоумышленник всё равно может получить доступ к учётной записи жертвы. Семперис также сообщила о результатах исследования Microsoft в декабре 2024 года, что привело к повторению рекомендаций по устранению уязвимости. Microsoft подчёркивает, что использование любого другого идентификатора пользователя, кроме комбинации уникального идентификатора (sub) и идентификатора эмитента (iss), нарушает требования OpenID Connect и повышает риск безопасности. В случаях, когда разработчики SaaS-приложений не соблюдают эти рекомендации, их продукты могут быть удалены из официального каталога Entra App Gallery, что ограничит их доступ к корпоративной аудитории и снизит доверие клиентов.
Проблема заключается не только в технической реализации, но и в том, что уязвимость трудно обнаружить и тем более защитить конечного пользователя от последствий её эксплуатации. Атакующий, сумевший воспользоваться nOAuth, получает не только доступ к данным сервисов, но и возможность продвинуться дальше в инфраструктуре Microsoft 365, развивая свою атаку и нанося ущерб организации. Такой сценарий особенно опасен для компаний, использующих интегрированные SaaS-приложения в стратегических процессах бизнеса. Также стоит отметить, что за пределами Microsoft-инфраструктуры продолжают выявляться другие серьезные угрозы безопасности. Например, исследования компании Trend Micro показали, что некорректная конфигурация контейнеров в Kubernetes и чрезмерные привилегии могут привести к компрометации AWS-учётных данных.
Эти проблемы, по сути, дополняют выявленную уязвимость nOAuth, указывая на необходимость комплексного подхода к защите облачных сервисов и инфраструктур. Для борьбы с уязвимостью nOAuth необходимо принять ряд мер на уровне разработки и эксплуатации программного обеспечения. Разработчики должны обеспечить правильную идентификацию пользователей, используя уникальные и неизменяемые идентификаторы, а не полагаясь на атрибуты, подверженные изменениям и подделкам. Также важна регулярная проверка безопасности и внедрение многофакторной аутентификации, чтобы снизить последствия возможной утечки или подделки данных. Корпоративным пользователям и администраторам рекомендуется внимательно следить за обновлениями от Microsoft и оперативно внедрять патчи и рекомендации по безопасной конфигурации приложений и сервисов.
Кроме того, следует пересмотреть политику доступа и минимизировать доверие к неподтверждённым данным в рамках аутентификационных процессов. Растущая сложность и взаимосвязанность современных IT-сред приводит к тому, что проблемы безопасности в одной части системы могут иметь серьёзные последствия на уровне всей организации. Уязвимость nOAuth служит хорошим примером того, как недостатки в реализации стандартов безопасного доступа могут создавать длительные проблемы и подвергать риску большие группы пользователей. Это подчеркивает важность постоянного мониторинга и анализа механизмов аутентификации, а также необходимости выработки единых стандартов и практик, которые обеспечат максимальную защиту в условиях мультивендорной и мультиоблачной среды. Несмотря на то, что технология OpenID Connect и протокол OAuth достаточно зрелы и широко распространены, они требуют внимательной и правильной реализации в каждом конкретном случае, учитывающей особенности инфраструктуры и модели использования приложения.
В заключение стоит отметить, что выявленная уязвимость nOAuth и текущая ситуация с её распространенностью в SaaS-приложениях Microsoft Entra — это сигнал к объединению усилий разработчиков, компаний и поставщиков облачных решений для устранения системных проблем. Без внимания к деталям и постоянного совершенствования систем безопасности угрозы кибератак будут оставаться высокими, что может привести к значительным финансовым и репутационным потерям. Только совместная работа и ответственный подход к вопросам идентификации и аутентификации смогут обеспечить долгосрочную защиту данных и пользователей в цифровом пространстве.
