Semperis descubre un riesgo derivado de la vulnerabilidad nOAuth en Microsoft Entra ID

Semperis ha publicado una nueva investigación sobre nOAuth, una vulnerabilidad conocida en Entra ID de Microsoft.

Esta permite la toma total de cuentas en aplicaciones SaaS vulnerables con un esfuerzo mínimo por parte del atacante, lo que representa un riesgo grave para las empresas que dependen de integraciones entre inquilinos (tenants) en Entra.

Eric Woodruff, arquitecto jefe de identidad de Semperis, ha presentado sus hallazgos esta semana en la conferencia Troopers 2025 en Heidelberg, Alemania.

La vulnerabilidad nOAuth fue revelada por primera vez en 2023 por Omer Cohen de Descope, quien destacó una falla en la forma en que algunas aplicaciones SaaS implementan OpenID Connect.

La investigación de seguimiento realizada por Semperis se centró en aplicaciones integradas con Entra dentro de la Galería de Aplicaciones de Microsoft Entra, identificando una amplia variedad de aplicaciones que aún son vulnerables al abuso de nOAuth más de un año después.

Descubierta a través de pruebas entre inquilinos (cross-tenant), nOAuth explota configuraciones de aplicaciones en Entra ID que permiten el uso de peticiones de correo electrónico no verificadas como identificadores de usuario, lo cual es un patrón no recomendado según los estándares de OpenID Connect.

En estos escenarios, los atacantes solo necesitan un inquilino de Entra y la dirección de correo electrónico de la víctima para tomar el control de la cuenta SaaS de la víctima.

Medidas tradicionales de protección como MFA (autenticación multifactor), acceso condicional y políticas de Zero Trust no ofrecen defensa alguna frente a este ataque.

“Es fácil que desarrolladores bien intencionados sigan patrones inseguros sin darse cuenta, y en muchos casos, ni siquiera sepan qué deben buscar,” ha afirmado Woodruff.

“Mientras tanto, los clientes no tienen forma de detectar o detener el ataque, lo que convierte esta amenaza en algo especialmente peligroso y persistente.”

Protección contra la vulnerabilidad nOAuth

En una prueba amplia de más de 100 aplicaciones SaaS integradas con Entra, Woodruff descubrió que casi el 10% eran vulnerables al abuso de nOAuth.

Una vez explotada la vulnerabilidad, los atacantes pueden obtener acceso total a la cuenta del usuario en la aplicación SaaS, lo que les permite exfiltrar datos, mantener persistencia y realizar movimientos laterales dentro del entorno.

El Centro de Respuesta de Seguridad de Microsoft (MSRC) aconseja a los proveedores de SaaS que sigan sus recomendaciones para prevenir el abuso de nOAuth, o se arriesgan a ser expulsados de la Galería de Aplicaciones de Entra.

“El abuso de nOAuth es una amenaza grave a la que muchas organizaciones podrían estar expuestas”, ha señalado Woodruff.

“Requiere poco esfuerzo, no deja casi rastro y elude las protecciones del usuario final. Hemos confirmado que la explotación sigue siendo posible en muchas aplicaciones SaaS, lo que hace que este sea un llamamiento urgente a la acción».

Semperis informó de sus hallazgos tanto a los proveedores afectados como a Microsoft desde diciembre de 2024.

Aunque algunos proveedores ya han corregido sus aplicaciones, otros siguen siendo vulnerables. Semperis afirma que, sin una correlación profunda de registros entre Entra ID y la plataforma SaaS, detectar el abuso de nOAuth es prácticamente imposible.

Los investigadores de Semperis anunciaron recientemente nuevas capacidades de detección en la plataforma Directory Services Protector de la empresa para defenderse de BadSuccessor, una técnica de escalada de privilegios de alta gravedad dirigida a una función recién introducida en Windows Server 2025.

El año pasado, descubrieron Silver SAML, una nueva variante de la técnica Golden SAML de SolarWinds que elude las defensas estándar en las aplicaciones integradas Entra ID.