Vulnerabilidad en Microsoft Entra ID permite la toma de control total de cuentas con muy poco esfuerzo.
Más de 15,000 aplicaciones de software como servicio (SaaS) podrían estar en peligro.
Una investigación reciente de Semperis ha revelado una vulnerabilidad significativa en Entra ID de Microsoft, denominada nOAuth, que podría afectar a aproximadamente el 10% de las aplicaciones SaaS disponibles a nivel mundial. Aunque este problema fue divulgado por primera vez en 2023, muchas aplicaciones continúan siendo vulnerables.
La falla se relaciona con un error de autenticación entre inquilinos que impacta las integraciones de Entra ID. Los atacantes podrían llevar a cabo una toma de control total de las cuentas simplemente con acceso a un inquilino de Entra y al correo electrónico de la víctima. El informe detalla que este ataque es de baja complejidad y esfuerzo, logrando evadir incluso la autenticación multifactor (MFA), políticas de acceso condicional y arquitecturas de seguridad de confianza cero, características comunes en organizaciones con buenas medidas de ciberseguridad.
Los atacantes pueden operar con poca probabilidad de dejar rastros, lo que complica la defensa sin parches por parte de los proveedores de software. Con más de 150,000 aplicaciones SaaS utilizadas a nivel global, se estima que más de 15,000 de ellas podrían estar en riesgo. Una vez que un atacante obtiene acceso a una de estas aplicaciones vulnerables, puede suplantar a la víctima, acceder a información personal identificable o exfiltrar datos.
Actualmente, no hay un método eficaz para detectar este tipo de ataque, y la prevención también se está volviendo problemática sin las soluciones adecuadas por parte de los proveedores de software. Eric Woodruff, arquitecto principal de identidad en Semperis, señaló que los clientes carecen de herramientas para detectar o detener el ataque, lo que convierte esta vulnerabilidad en una amenaza peligrosa y persistente.
Dado este panorama, se insta a los proveedores de SaaS a auditar y parchear urgentemente las aplicaciones afectadas. El Microsoft Security Response Center también ha aconsejado a los proveedores seguir sus guías para evitar ser retirados de la galería de Entra. Woodruff agregó que la posibilidad de explotación sigue vigente en muchas aplicaciones SaaS, lo que hace que este sea un llamado urgente para que los desarrolladores implementen las correcciones necesarias y ayuden a proteger a sus usuarios antes de que se produzcan más explotaciones.
