随着云服务的快速发展,基于身份的安全防护成为企业的重点关注领域。微软Entra身份平台作为企业级身份管理的核心组件,其安全问题备受关注。近年来,安全研究机构揭示了一个重要漏洞——nOAuth漏洞,该漏洞影响了微软Entra ID的多款SaaS应用,且至今仍未被完全修复。据Semperis的最新调查显示,超过9%的微软Entra SaaS应用仍然存在跨租户nOAuth滥用风险,意味着该漏洞依旧能够被恶意攻击者利用,造成账号劫持和数据泄露。nOAuth漏洞的核心在于微软Entra ID与OpenID Connect(OIDC)身份协议的实现细节上。OIDC作为建立在OAuth基础上的身份验证扩展协议,负责验证用户身份。
但部分SaaS应用在实现时,因对邮件属性验证不足,允许攻击者通过修改邮件地址属性,冒充目标用户。攻击者利用“使用微软登录”功能,利用漏洞将自己的登录凭据与受害者账户关联,轻而易举地绕过身份验证实现账户接管。漏洞的关键在于微软Entra ID默认允许用户的邮件地址未经过验证,攻击者正是利用了这一机制,实现跨租户用户身份的伪造。更为严重的是,若SaaS应用同时使用多种身份提供者(如谷歌、Facebook及微软),漏洞会被放大。此时应用仅通过邮件地址来认定用户身份,无论邮件地址是否经过验证,都可能引发攻击者对受害人账户的非法访问。Semperis的风险模型聚焦于跨租户攻击场景,即攻击者与受害者账户位于不同的微软Entra ID租户中,但仍能通过漏洞搭桥访问对方账户数据。
该漏洞的攻击过程几乎无需复杂操作,攻击痕迹极少,且绕过了常见的用户保护手段,极具威胁性。攻击一旦成功,不仅可能导致SaaS应用的数据泄露,还存在借此突破内网,横向攻击微软365等后续资源的隐患。微软公司在2023年6月首次公开披露nOAuth漏洞,并提出了一系列安全合规建议,明确告诉开发者必须避免在OpenID Connect中使用除“sub” (主体标识)和“iss” (颁发者)之外的任何声明(claims)来唯一标识用户,否则即为违反协议规范。微软方面承诺若厂商未能及时依照指引修复漏洞,将面临从Entra应用库下架的风险。然而,两年过去,调查发现仍有近十分之一的应用未完全遵循建议,漏洞依然存在。漏洞防护主要责任在于开发者,需要确保身份验证流程的安全严格,采用唯一且不可篡改的用户标识符,避免依赖未验证的邮箱属性。
与此同时,企业信息安全负责人应针对已部署的SaaS应用排查风险,密切关注微软及安全厂商发布的更新和补丁,强化多因素认证(MFA)及异常行为监测机制。值得注意的是,nOAuth漏洞的发现与其复杂的跨租户身份管理背景密切相关,微软Entra ID支持不同租户间联合与来往,本意是为提升企业协作效率。正因其强大的灵活性能,也产生了安全边界模糊,给攻击者以可乘之机。业内专家提醒,安全策略需要同步企业组织架构调整及服务拓展,杜绝安全链条中的薄弱点。除此之外,行业普遍正在推动更严格的身份验证标准和安全加固措施,包括使用加密邮件验证、服务端会话绑定、以及结合行为分析的动态访问控制。与此同时,微软与安全社区合作不断加强漏洞响应和威胁情报共享,以更快更新应对策略,提升整个生态系统的安全防御能力。
综合来看,微软Entra的nOAuth漏洞暴露了云身份验证生态中尚存的安全隐患,呼吁各相关方高度重视。作为企业,需加强自身安全意识和技术投入,确保SaaS应用身份认证的规范化和安全化,防止账户被恶意控制引发更大范围的企业数据泄露和业务中断。随着云应用的广泛普及,身份认证机制的安全性显得尤为重要。只有通过联合厂商、技术团队和安全专家的合力,才能有效封堵安全漏洞,实现云端环境的可信防护,让用户安心享受数字化时代的便捷服务。同时,未来在云身份管理领域,持续的安全技术创新及严格的合规审查将成为防范类似漏洞发生的关键保障。持续关注和深入研究身份协议层面的安全实现,及时响应和修复系统不足,正是打造安全、可靠的数字生态环境不可或缺的核心。
。
