פרצת nOAuth עדיין מאיימת על אפליקציות SaaS שמשתמשות ב-Entra
מחקר חדש מראה שאחת מכל עשר אפליקציות SaaS שמחוברות ל-Entra ID עדיין מאפשרות לתוקפים להשתלט על חשבונות משתמשים בלי סיסמה ובלי לעורר חשד
תמונה: pixabay
חברת הסייבר Semperis פרסמה לאחרונה מחקר חדש על פרצת nOAuth – חולשה ידועה במערכת Entra ID של מיקרוסופט, שמאפשרת לתוקפים להשתלט באופן מלא על חשבונות באפליקציות SaaS פגיעות במינימום מאמץ. כחלק מהבדיקה, החברה סקרה לאחרונה יותר ממאה אפליקציות SaaS שמחוברות ל־Entra ID של מיקרוסופט, וחשפה נתון מדאיג: כ־10% מהן עדיין פגיעות לפרצה שמאפשרת לתוקף להשתלט על חשבון משתמש בלי להזין סיסמה, בלי לעבור אימות דו־שלבי, ובעיקר בלי לעורר שום חשד.
הפרצה לא נובעת מתקלה בצד של מיקרוסופט, אלא מאופן היישום של ספקיות SaaS שמשתמשות ב־Entra: הן סומכות על תכונת זיהוי של כתובת האימייל, גם אם היא לא אומתה, ומזהות דרכה את המשתמש. בפועל, זה אומר שכל מי שמסוגל להכניס לשרת את האימייל של הקורבן – מזוהה כלגיטימי.
החוקרים גילו שפרצת nOAuth מנצלת תצורות באפליקציות Entra שמקבלות כתובות אימייל לא מאומתות כמאפיין מזהה של המשתמש, תבנית פסולה לפי תקני OpenID Connect. בתרחישים אלו, כל מה שנדרש מהתוקף הוא משתמש Entra פעיל וכתובת האימייל של הקורבן כדי להשתלט על חשבונו באפליקציית ה-SaaS. הגנות מסורתיות כמו אימות דו-שלבי (MFA), גישת אפס אמון (Zero Trust) וגישה מותנית אינן רלוונטיות ואינן מסייעות במקרה הנוכחי.
כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime
איך תוקפים מנצלים את זה?
התוקף פותח לעצמו חשבון Entra רגיל, ומגדיר בו כתובת אימייל מזויפת שתואמת לזו של עובד אמיתי בארגון, למשל dana@company.com.
אם האפליקציה לא דורשת אישור מה־IDP שהכתובת אומתה, היא פשוט מאשרת את ההתחברות. מבחינתה, מדובר במשתמש לגיטימי לחלוטין. בפועל, זו התחזות מלאה שמובילה לגישה ישירה. וזו בדיוק הבעיה עם פרצת nOAuth: אין ניסיון לפרוץ, אין התראה על פעילות חשודה, אין חריגה ממדיניות והכול עובר דרך תהליך התחברות רגיל. רק שהזהות שקרית, והגישה אמיתית לגמרי.
במקרה שהפרצה מנוצלת, לתוקף יש גישה מלאה לחשבון של הקורבן, כולל קבצים, הרשאות, מידע רגיש, ולעיתים גם אפשרות לנוע לרוחב הארגון דרך אינטגרציות קיימות. זו השתלטות שקטה, שקופה, וכמעט בלתי ניתנת לזיהוי ללא מתאם לוגים עמוק בין Entra לבין שירות ה־SaaS שבו בוצעה ההתחברות.
מיקרוסופט מזהירה: האחריות על הספקים
לפי Semperis, החברה דיווחה על ממצאיה לספקים שנפגעו ולמיקרוסופט מדצמבר 2024. לטענתה, חלק מהספקים תיקנו את השירותים שלהם במהירות אבל אחרים בחרו להתעלם. מיקרוסופט הודיעה כי אפליקציות שלא יישרו קו עם הנחיות האבטחה והאימות של Entra יוסרו מה־Application Gallery. אבל בשורה התחתונה, האחריות לא יושבת על מיקרוסופט, אלא על מפתחי האפליקציה: הם אלו שבחרו לסמוך על תכונות זיהוי לא מאומתות והם אלו שצריכים לבדוק עכשיו את ההגדרות.
אם אתם מפתחים אפליקציית SaaS שמבוססת על אינטגרציה עם Entra ודאו שהשירות שלכם מאמת את הזהות דרך טוקן חתום ואינו מסתמך רק על כתובת מייל. בנוסף, כדאי למפות אילו אפליקציות בארגון מחוברות ל־Entra ולהבין אם הן בודקות את הזהות בצורה מאובטחת או שמסתפקות ב־claim שיכול להישלח על ידי כל גורם.
הפרצה ש-Semperis חשפה לא מתבססת על חולשת קוד אלא על הנחות עבודה שגויות, וזו בדיוק הסיבה שהיא מסוכנת: היא לא דורשת תחכום טכני גבוה, לא משאירה עקבות, ולא מתנגשת עם מדיניות האבטחה של הארגון. היא פשוט מתקבלת. אם יש לקח אחד שהמחקר הזה מדגיש, הוא שכל אפליקציית SaaS שמתחברת למערכות זהות חיצוניות צריכה לבדוק שוב את הנחות היסוד שלה. במיוחד כשמה שנראה כמו התחברות שגרתית עלול להפוך תוך שניות להשתלטות מלאה על חשבון בלי ששום התראה תידלק בדרך.
