Компания Microsoft на днях признала наличие критической уязвимости в своей основной облачной службе Azure. Уязвимость получила название nOAuth. Так ее обозвала известная компания-разработчик ПО для обеспечения безопасности Descope, которая ее и обнаружила. nOAuth присутствует в Active Directory Azure, позволяя хакерам использовать ее и получать доступ к сторонним веб-сайтам, используя скомпрометированные учетные записи. Чтобы воспользоваться этой уязвимостью, хакерам просто нужно создать учетную запись Azure с правами администратора и изменить адрес электронной почты учетной записи на адрес ничего не подозревающего пользователя. Используя функцию «Войти с помощью Microsoft», хакеры могут легко войти на сторонние веб-сайты, злонамеренно используя скомпрометированную учетную запись Azure. Данная уязвимость потенциально затронет значительную часть пользователей Azure, приведя к утечке данных, захвату учетных записей и манипулированию конфиденциальной информацией. Последствия включают финансовые потери, репутационный ущерб и возможные юридические последствия. Имер Коэн, директор по безопасности Descope, указал, что эта уязвимость связана с недостатком в схеме аутентификации Microsoft. Софтверный гигант признал наличие дыры и выпустил предупреждение для всех пользователей.
Интернет
