聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

安全创业公司 Descope 的安全研究员在微软 Azure AD OAuth 应用中发现了一个严重的配置不当问题。任何使用“通过微软登录”的企业可被暴露到完全账户接管风险中。

该漏洞被称为 “nOAuth”，是一个认证实现漏洞，影响微软 Azure AD 多租户OAuth 应用。

Descope 公司在安全公告中提到，恶意人员可修改微软 Azure AD 账户中的邮件属性，并通过他们想要假冒的任何受害者的邮件地址利用一次点击“通过微软登录”特性。

公告中解释称，“在常见的 OAuth 和 OpenID Connect 实现中，应用将用户邮件地址作为唯一标识符。然而，在微软 Azure AD中，返回的‘邮件’断言是易变的且未验证的，因此是不可信的。”该公司表示，这一影响导致创建 Azure AD 租户的攻击者，通过易受攻击的应用和特殊构造的受害者用户使用‘通过微软登录’特性，造成账户遭完全接管。Descope 发布演示视频，展示了潜在利用非常简单。

Descope 在今年早些时候将该问题告知微软并与微软共同推出新的缓解措施，保护企业免受提权攻击。

微软将该漏洞描述为“用于 Azure AD (AAD) 应用中的不安全的反模式”，使用访问令牌中的邮件断言进行授权，会导致提权后果。微软证实称，“攻击者可伪造发给应用的令牌中的邮件断言。另外，如果应用使用此类断言进行邮件查询，则存在数据泄露威胁。微软建议在授权时不得使用邮件断言。如应用使用这些邮件断言进行授权或用于主要用户识别，则可遭受账户和提权攻击。”

微软督促开发人员审计应用的授权业务逻辑，并按照文档指南保护应用程序遭越权访问。

代码卫士试用地址：https://codesafe.qianxin.com

开源卫士试用地址：https://oss.qianxin.com

---

推荐阅读

奇安信入选全球《静态应用安全测试全景图》代表厂商

奇安信入选全球《软件成分分析全景图》代表厂商

微软 Azure Bastion 和 Container Registry 中存在两个严重漏洞

研究员在微软 Azure API 管理服务中发现3个漏洞

微软Azure新漏洞可导致RCE，研究员获3万美元奖励

四款微软Azure服务存在漏洞，可导致云资源遭越权访问

微软悄悄修复Azure跨租户数据访问高危漏洞

原文链接

https://www.securityweek.com/researchers-flag-account-takeover-flaw-in-microsoft-azure-ad-oauth-apps/

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~