Dois anos após sua descoberta, a falha de segurança conhecida como nOAuth ainda afeta 9% dos aplicativos SaaS que utilizam o Entra ID da Microsoft, segundo uma nova análise. O estudo examinou 104 aplicativos e identificou nove vulneráveis ao abuso de nOAuth entre locatários diferentes (cross-tenant), o que permite que cibercriminosos assumam o controle de contas. A falha foi inicialmente revelada em junho de 2023 e está relacionada à forma incorreta como alguns aplicativos implementam o OpenID Connect (OIDC), camada de autenticação baseada no protocolo OAuth.
A brecha permite que um invasor altere o atributo de e-mail em sua conta Entra ID para o de uma vítima e, com isso, use o recurso “Entrar com Microsoft” para invadir contas. A vulnerabilidade persiste porque o Entra ID permite e-mails não verificados, o que facilita a personificação de usuários entre diferentes locatários. Além disso, aplicativos que aceitam múltiplos provedores de identidade (como Google ou Facebook) podem unir contas apenas com base no e-mail, ampliando o risco.
Especialistas alertam que o ataque é de baixa complexidade, difícil de rastrear e ignora medidas de proteção comuns. O impacto pode incluir acesso a dados de aplicativos SaaS e até movimentação lateral dentro do ecossistema Microsoft 365. A Microsoft reiterou recomendações já feitas em 2023, alertando que aplicativos que não seguirem as diretrizes poderão ser removidos do Entra App Gallery. A mitigação da falha depende da correta implementação de autenticação por parte dos desenvolvedores.
