Microsoft Entra kimliğiyle entegre edilmiş bazı hizmet olarak yazılım (SaaS) uygulamalarında, potansiyel olarak saldırganların kiracı sınırları arasında tam hesap devralmasına izin veren bazı Hizmet Olarak Yazılım (SaaS) uygulamalarında tanımlanmıştır.
26 Haziran 2025’te açıklanan Semperis tarafından yapılan araştırmalar, Microsoft Entra Uygulama Galerisi’nde yaklaşık% 9’luk test edilen 104 başvurudan 9’unun bu istismara karşı savunmasız olduğunu ortaya koydu.
Kritik güvenlik açığı SaaS uygulamalarını ortaya çıkarır
NOAUTH güvenlik açığı, geliştiricilerin e -posta adresleri gibi değişebilir özellikleri kullanıcı tanımlayıcıları olarak kullandıkları OpenID Connect (OIDC) uygulamalarında kritik bir kimlik doğrulama yanlış yapılandırmasını kullanır.
.png
)
Entra ID doğrulanmamış e -posta adreslerine izin verdiğinden, saldırganlar bu özellikleri ayrı bir kiracıda manipüle ederek meşru kullanıcıları taklit edebilir, hassas verilere yetkisiz erişim elde eder ve uzlaşmış uygulama içinde kalıcılık ve yanal hareket sağlar.
Noauth istismarı endişe verici bir şekilde basittir, yalnızca bir ENTRA kiracısına ve hedef kullanıcının e -posta adresine yürütülmesini gerektirir.
Semperis araştırmacıları, bu güvenlik açığını düşük karmaşıklığı nedeniyle ciddi olarak sınıflandırır, ancak neredeyse imkansız tespit görevi ve müşteri tarafı azaltma seçeneklerinin eksiksiz eksikliği ile birlikte.
Saldırı, bu tür iddialara izin veren uygulama kayıtlarıyla birlikte, yasal kullanıcılar olarak kötü niyetli aktörlerin kimlik doğrulamasını kandırması için entra kimliğinde doğrulanmamış e -posta adreslerini ayarlama yeteneğinden yararlanıyor.
Düşük karmaşıklık saldırısı
İçeri girdikten sonra saldırganlar, insan kaynakları yönetim sistemleri (HRMS) gibi uygulamalarda kişisel olarak tanımlanabilir bilgiler (PII) veya hatta posta ve takvim verileri gibi Microsoft 365 kaynaklarına entegre olmak üzere pivot dahil olmak üzere, tehlikeye atılan tüm verilere erişebilir.
Microsoft’un Haziran 2023’ten sonra oluşturulan uygulama kayıtları için bu sorunu azaltma çabalarına rağmen, doğrulanmamış e-posta taleplerini varsayılan olarak engelleyerek, binlerce önceden var olan SaaS uygulamaları risk altında kalır ve satıcılar, kimlik doğrulama mekanizmalarını OIDC en iyi uygulamalarını, ihraççı (ISS) ve konu) gibi açılabilir tanımlayıcılar kullanarak güncellemedikçe savunmasız bırakır.
2024’ün sonlarında başlatılan Semperis’in soruşturması, ETRA uygulama galerisindeki OIDC entegrasyonlarına odaklandı, etik sınırları sağlamak için kendi kendine imza özelliklerine sahip uygulamaları test etti.
Bulguları daha geniş bir endüstri zorluğunun altını çiziyor: Birçok geliştirici, özellikle sadece Entra Kimlik Kimlik Doğrulamasını destekleyenler, kiracılar arası çarpışma riskleri varsayılmadan e-posta doğrulaması veya hesap iletme mantığı gibi gerekli önlemleri uygulayamayabilir.
Keşifin ardından Semperis, sorunu Aralık 2024’te Microsoft Güvenlik Yanıt Merkezi’ne (MSRC) Durum 93209 uyarınca, etkilenen satıcılara doğrudan erişimin yanı sıra bildirdi.
Bazı satıcılar kusuru çözmek için işbirliği yaparken, MSRC davayı Nisan 2025’te kapattı ve geliştiricilerin OIDC yönergelerini izlemesi gerektiğini yineledi ve uyumlu olmayan uygulamalar Entra Uygulama Galerisi’nden kaldırma riskiyle karşı karşıya kaldı.
Bununla birlikte, müşteriler için, bir uygulamanın doğrulanmamış e -posta taleplerini tüketip tüketmediğine dair görünürlük eksikliği, çok faktörlü kimlik doğrulama (MFA) veya koşullu erişim gibi etkisiz geleneksel savunmalarla birleştiğinde, tek başvurusu, satıcıları düzeltmeler için baskı veya savunmasız uygulamaları terk etmek anlamına gelir.
Noauth, SaaS ekosisteminde kalıcı bir tehdit olmaya devam ettiği için, bu açıklama, geliştiricilerin ve kuruluşların güvenli kimlik doğrulama uygulamalarına öncelik vermek için kritik bir uyandırma çağrısı ve bu tür sinsi istismarlara karşı korumak için titiz testler olarak hizmet vermektedir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin