Kimlik ve Erişim Yönetimi, Güvenlik Operasyonları
Bilgisayar korsanları, SaaS uygulamalarına Entra Kimliği ile oturum açmak için doğrulanmamış e -postayı kullanabilir
David Perera (@Daveperera) •
25 Haziran 2025
Microsoft tek oturum açma özelliğindeki bir kusur, 2023’te keşfedilen bulut uygulaması hesap devralmalarına izin veren bir kusur, hiçbir zaman gerçekten gitmedi, araştırmacılar, bir bilgi işlem devi iddiasına rağmen, neredeyse hemen Noauth olarak bilinen kırılganlığı düzelttiğini iddia ediyor.
Ayrıca bakınız: Kavram kanıtı: AI ajanlarının yaşı için kimliği yeniden düşünmek
Kusur, bilgisayar korsanlarının tek oturum açma için Microsoft Entra kimliğini kabul eden uygulamalara giriş yapmasına izin verir. Saldırıda, bilgisayar korsanları bir Entra kimliği hesabı oluşturdu ve daha sonra tanımlayıcıyı bir kurbanın e -posta adresi olarak yeniden yapılandırdı. Saldırı, saldırgan kontrolündeki bir Entra ID hesabını değiştirmenin birkaç dakikalık değerini içeren sofistike değil. Doğrulanmamış e-postaları bir ENTRA kimliği tanımlayıcısı olarak kabul eden hizmet olarak yazılım uygulamalarından yararlanır.
Birçok SaaS hizmetinin bunu yaptığı ortaya çıkıyor. “Savunmasız bir İK platformu bulduk. Muhtemelen bu platformun müşterilerini bulabilirim ve büyük yöneticilerinin kim olduğunu ve tüm bunlara erişebileceğim [personally identifiable information]”dedi Active Directory Güvenlik Uzmanları Semperis baş kimlik mimarı Eric Woodruff. Woodruff Çarşamba günü Almanya’daki Troopers Siber Güvenlik Konferansı’nda Noauth’un uzun kuyruğu hakkında araştırmayı sundu.
Semperis, kendi kendine imza atmasına izin veren ve Microsoft tarafından Entra IDS’yi kabul ettiği için listelenen yaklaşık 100 uygulamayı test etti. Yaklaşık% 9’un Noauth’a karşı savunmasız olduğunu buldu. Şirketin 104 uygulamasının test örneği “sadece entra kimliğiyle entegre olan SaaS uygulamalarının kovasında bir düşüş. Bu sayıları on binlerce mevcut SaaS uygulamasına karşı tahmin edebilirsiniz.” Bilgi Güvenliği Medya Grubu Microsoft ile temasa geçti, ancak geri dönmedi. Semperis, Aralık ayında bulguları üzerinde Microsoft ile ilgilenmeye başladığını ancak şirketin Nisan ayında herhangi bir açıklama yapmadan temas kurmayı durdurduğunu söyledi.
Kimlik doğrulama yönetim firması Descope, Haziran 2023’te NOAUTH hakkındaki bulgularını yayınladığında, Microsoft, uygulama geliştiricilerinin yetkilendirme amacıyla e -posta adreslerine güvenmemesi gerektiğini yineleyen bir blog yazısı ile yanıt verdi. Ayrıca “çoğu uygulama için doğrulanmamış etki alanı sahiplerinden jeton taleplerini atlamak için hafifletmeler konuşlandırdı.”
Microsoft, doğrulanmamış e-posta adreslerini kabul etmek için Entra ID tek oturum açma yapılandıran uygulama sahiplerini bildirdiğini söyledi. Woodruff ISMG’ye verdiği demeçte, “Objektif olarak söyleyemem, evet ‘Microsoft herkese bildirmedi’, ancak bulgular 2023’te yazdıkları şeyle çelişkili görünüyor.”
Woodruff, Microsoft’un azaltma Microsoft’un, varsayılan olarak doğrulanmamış e -posta adresleriyle reddedilecek entra kimlik uygulaması kayıt ayarlarının değiştiğini duyurduğunu duyurdu.
“Tabii ki, binlerce SaaS uygulaması Haziran 2023’ten beri varlığını sürdürüyor ve birçok geliştirici hala e -posta adresini tüketmek istiyor ve gerekiyor; birçok SaaS uygulaması son kullanıcılara e -posta göndermek istiyor ve bir talep yoluyla tüketim bu bilgileri almanın en kolay yolu.”
Geliştiriciler, uygulamaları Entra Kimliğine kaydolduklarında doğrulanmamış e -postaları kabul edecek şekilde yapılandırabilirler.
Woodruff ayrıca, Microsoft’un geliştiricilerin belirli bir ENTRA kimliğine bağlı bir e -postanın doğrulanıp doğrulanmadığını belirlemelerini sağlayan isteğe bağlı bir özellikten kullanımdan kaldırılmış olabileceğinden endişe duyduğunu söyledi. Özelliğin, jeton yapılandırmasını ayarlamak için kullanıcı arayüzünde mevcut olmadığını söyledi.
Woodruff, uygulama müşterilerinin noauth’a karşı savunmak için çok az başvurusu var. Geleneksel tavsiye – çok faktörlü kimlik doğrulama veya koşullu erişim kurmak gibi – bu durumda çalışmayın.
“Bu konuda gerçekten hiçbir şey yapamazsınız,” dedi Woodruff, “geliştiricinin uygulamalarını düzeltmesi umudunun yanı sıra. Dürüst olmak gerekirse, uygulamanın savunmasız olduğunu bile bilemezsiniz. Teorik olarak, eğer yaparsanız, tek savunmanız temel olarak uygulamayı kullanmayı bırakmak olacaktır.”