Компания Microsoft на днях признала наличие критической уязвимости в своей основной облачной службе Azure.

Уязвимость получила название nOAuth. Так ее обозвала известная компания-разработчик ПО для обеспечения безопасности Descope, которая ее и обнаружила.

nOAuth присутствует в Active Directory Azure, позволяя хакерам использовать ее и получать доступ к сторонним веб-сайтам, используя скомпрометированные учетные записи.

Чтобы воспользоваться этой уязвимостью, хакерам просто нужно создать учетную запись Azure с правами администратора и изменить адрес электронной почты учетной записи на адрес ничего не подозревающего пользователя. Используя функцию «Войти с помощью Microsoft», хакеры могут легко войти на сторонние веб-сайты, злонамеренно используя скомпрометированную учетную запись Azure.

Данная уязвимость потенциально затронет значительную часть пользователей Azure, приведя к утечке данных, захвату учетных записей и манипулированию конфиденциальной информацией. Последствия включают финансовые потери, репутационный ущерб и возможные юридические последствия.

Имер Коэн, директор по безопасности Descope, указал, что эта уязвимость связана с недостатком в схеме аутентификации Microsoft. Софтверный гигант признал наличие дыры и выпустил предупреждение для всех пользователей.