Microsoft визнала наявність вразливості у хмарній службі Azure

Вразливість отримала назву nOAuth. Так її обізвала відома компанія-розробник ПЗ для забезпечення безпеки Descope, яка її і виявила.

nOAuth є в Active Directory Azure, дозволяючи хакерам використовувати її та отримувати доступ до сторонніх веб-сайтів, використовуючи скомпрометовані облікові записи.

Щоб скористатися цією вразливістю, хакерам просто потрібно створити обліковий запис Azure з правами адміністратора і змінити адресу електронної пошти облікового запису на адресу користувача, який нічого не підозрює. Використовуючи функцію «Увійти за допомогою Microsoft», хакери можуть легко увійти на сторонні веб-сайти, зловмисно використовуючи скомпрометований обліковий запис Azure.

Ця вразливість потенційно торкнеться значної частини користувачів Azure, привівши до витоку даних, захоплення облікових записів та маніпулювання конфіденційною інформацією. Наслідки включають фінансові втрати, репутаційні збитки та можливі юридичні наслідки.

Імер Коен, директор безпеки Descope, зазначив, що ця вразливість пов'язана з недоліком у схемі автентифікації Microsoft. Софтверний гігант визнав наявність діри та випустив попередження для всіх користувачів.