Noticias Encuentros A Fondo Opinión Entrevistas Casos de éxito Vídeos Administración Pública Guía TIC Premios Computing

NOTICIAS

Semperis descubre un riesgo derivado de la vulnerabilidad nOAuth en Microsoft Entra ID

Home Seguridad
Dirección copiada

Esta falla afecta a las aplicaciones SaaS empresariales

Publicado el 1 jul 2025
Ciberseguridad

Semperis ha publicado una nueva investigación sobre nOAuth, una vulnerabilidad conocida en Entra ID de Microsoft.

Esta permite la toma total de cuentas en aplicaciones SaaS vulnerables con un esfuerzo mínimo por parte del atacante, lo que representa un riesgo grave para las empresas que dependen de integraciones entre inquilinos (tenants) en Entra.

Eric Woodruff, arquitecto jefe de identidad de Semperis, ha presentado sus hallazgos esta semana en la conferencia Troopers 2025 en Heidelberg, Alemania.

La vulnerabilidad nOAuth fue revelada por primera vez en 2023 por Omer Cohen de Descope, quien destacó una falla en la forma en que algunas aplicaciones SaaS implementan OpenID Connect.

La investigación de seguimiento realizada por Semperis se centró en aplicaciones integradas con Entra dentro de la Galería de Aplicaciones de Microsoft Entra, identificando una amplia variedad de aplicaciones que aún son vulnerables al abuso de nOAuth más de un año después.

La vulnerabilidad nOAuth fue revelada por primera vez en 2023 por Omer Cohen de Descope, quien destacó una falla en la forma en que algunas aplicaciones SaaS implementan OpenID Connect

Descubierta a través de pruebas entre inquilinos (cross-tenant), nOAuth explota configuraciones de aplicaciones en Entra ID que permiten el uso de peticiones de correo electrónico no verificadas como identificadores de usuario, lo cual es un patrón no recomendado según los estándares de OpenID Connect.

En estos escenarios, los atacantes solo necesitan un inquilino de Entra y la dirección de correo electrónico de la víctima para tomar el control de la cuenta SaaS de la víctima.

Medidas tradicionales de protección como MFA (autenticación multifactor), acceso condicional y políticas de Zero Trust no ofrecen defensa alguna frente a este ataque.

Los atacantes solo necesitan un inquilino de Entra y la dirección de correo electrónico de la víctima para tomar el control de la cuenta SaaS de la víctima

“Es fácil que desarrolladores bien intencionados sigan patrones inseguros sin darse cuenta, y en muchos casos, ni siquiera sepan qué deben buscar,” ha afirmado Woodruff.

“Mientras tanto, los clientes no tienen forma de detectar o detener el ataque, lo que convierte esta amenaza en algo especialmente peligroso y persistente.”

Protección contra la vulnerabilidad nOAuth

En una prueba amplia de más de 100 aplicaciones SaaS integradas con Entra, Woodruff descubrió que casi el 10% eran vulnerables al abuso de nOAuth.

Una vez explotada la vulnerabilidad, los atacantes pueden obtener acceso total a la cuenta del usuario en la aplicación SaaS, lo que les permite exfiltrar datos, mantener persistencia y realizar movimientos laterales dentro del entorno.

El Centro de Respuesta de Seguridad de Microsoft (MSRC) aconseja a los proveedores de SaaS que sigan sus recomendaciones para prevenir el abuso de nOAuth, o se arriesgan a ser expulsados de la Galería de Aplicaciones de Entra.

“El abuso de nOAuth es una amenaza grave a la que muchas organizaciones podrían estar expuestas”, ha señalado Woodruff.

“Requiere poco esfuerzo, no deja casi rastro y elude las protecciones del usuario final. Hemos confirmado que la explotación sigue siendo posible en muchas aplicaciones SaaS, lo que hace que este sea un llamamiento urgente a la acción».

Sin una correlación profunda de registros entre Entra ID y la plataforma SaaS, detectar el abuso de nOAuth es prácticamente imposible

Semperis informó de sus hallazgos tanto a los proveedores afectados como a Microsoft desde diciembre de 2024.

Aunque algunos proveedores ya han corregido sus aplicaciones, otros siguen siendo vulnerables. Semperis afirma que, sin una correlación profunda de registros entre Entra ID y la plataforma SaaS, detectar el abuso de nOAuth es prácticamente imposible.

Los investigadores de Semperis anunciaron recientemente nuevas capacidades de detección en la plataforma Directory Services Protector de la empresa para defenderse de BadSuccessor, una técnica de escalada de privilegios de alta gravedad dirigida a una función recién introducida en Windows Server 2025.

El año pasado, descubrieron Silver SAML, una nueva variante de la técnica Golden SAML de SolarWinds que elude las defensas estándar en las aplicaciones integradas Entra ID.

@REPRODUCCIÓN CONFIDENCIAL

¿Qué te ha parecido este artículo?

La tua opinione è importante per noi!

C
Redacción Computing

Temas

Canales

Artículos relacionados

  • Leggi l'articolo David Hurtado (Microsoft): "La IA debe elevarse a nivel estratégico en la empresa, y no solo a nivel de usuario"

  • entrevistas

    David Hurtado (Microsoft): "La IA debe elevarse a nivel estratégico en la empresa, y no solo a nivel de usuario"

    27 Nov 2024

    por Laura del Río

    Compartir
  • Leggi l'articolo La inversión extranjera apuesta por el sector Agritech español

  • noticias

    La inversión extranjera apuesta por el sector Agritech español

    30 Ene 2025

    por Redacción Computing

    Compartir
  • Leggi l'articolo DES2025: Óscar López anuncia el lanzamiento del kit de espacio de datos para después de verano

  • noticias

    DES2025: Óscar López anuncia el lanzamiento del kit de espacio de datos para después de verano

    10 Jun 2025

    por Laura del Río

    Compartir
  • Leggi l'articolo Oracle alcanza 57.400 millones de dólares de facturación

  • NOTICIAS

    Oracle alcanza 57.400 millones de dólares de facturación

    12 Jun 2025

    por Redacción Computing

    Compartir

Artículo 1 de 5