Scopri cos’è la vulnerabilità nOAuth, perché è pericolosa per chi usa Microsoft 365 e come EKO365 può aiutarti a proteggere la tua azienda da accessi non autorizzati.
Non tutte le minacce fanno rumore. Alcune si muovono nell’ombra, silenziose, sfruttando le crepe invisibili nei sistemi di autenticazione.
È il caso di nOAuth, una vulnerabilità subdola; scoperta nel sistema di identità Microsoft Entra ID, che può portare alla presa di controllo completa degli account SaaS.
Per le aziende che lavorano in ambienti Microsoft 365, capire questa minaccia è essenziale.
Per questo, siamo qui per spiegare cos’è, perché è pericolosa e – soprattutto – cosa possiamo fare per aiutarti a proteggere la tua organizzazione.
Cos’è nOAuth?
nOAuth è una vulnerabilità legata a cattive pratiche di configurazione OAuth/OpenID Connect (OIDC), lo standard usato per l’autenticazione federata nei servizi cloud, come Entra ID.
In particolare, il problema si manifesta quando un’applicazione usa l’email dell’utente come identificatore unico, anche se quell’email non è stata verificata nel tenant Microsoft.
Con una semplice manipolazione, un attaccante può inserire nel proprio profilo un indirizzo email falso e ingannare un’app SaaS vulnerabile, prendendo il controllo dell’account della vittima.
Come funziona un attacco nOAuth?
Il processo è sorprendentemente semplice:
- l’attaccante crea un account nel proprio tenant Entra ID;
- modifica il campo email con quello della vittima;
- si registra (o accede) a una applicazione SaaS vulnerabile che usa l’email per riconoscere gli utenti;
- l’app non si accorge della differenza e concede l’accesso.
Il risultato: l’attaccante può vedere e usare tutto ciò a cui l’utente legittimo ha accesso.
Perché è pericoloso?
La vulnerabilità nOAuth rappresenta una minaccia subdola perché agisce sotto traccia, sfruttando errori di configurazione difficili da individuare. Non si tratta di un attacco complesso da lanciare, ma di una falla che può colpire silenziosamente e con conseguenze molto gravi. Ecco perché va presa sul serio:
- non lascia tracce visibili nei log;
- aggira MFA (Multi-Factor Authentication), accesso condizionato e altre difese;
- colpisce molte app SaaS;
- permette accesso a calendari, email e dati sensibili, specialmente se l’app si integra con Microsoft 365;
- i clienti finali non possono fare molto: la mitigazione spetta agli sviluppatori delle applicazioni.
Cosa ha fatto Microsoft?
Per limitare i rischi legati a nOAuth, Microsoft ha adottato alcune misure a partire da giugno 2023. Le nuove applicazioni registrate su Entra ID non includono più l’email se non è verificata, riducendo così il rischio di usi impropri.
È stato inoltre introdotto il claim xms_edov, che segnala se un’email è verificata, anche se il suo utilizzo risulta ancora poco chiaro e non del tutto stabile.
Microsoft ha anche avvisato i fornitori di app vulnerabili presenti nella Entra App Gallery, chiedendo correzioni urgenti e minacciando la rimozione in caso di inadempienza.
Molte applicazioni sviluppate prima del 2023 o configurate in modo errato restano comunque ancora esposte alla vulnerabilità.
Cosa può fare EKO365 per la tua azienda?
Il rischio è reale ed è difficile da identificare. EKO365 si propone come tuo alleato per difendere l’identità digitale della tua impresa.
Ecco come ti aiutiamo concretamente:
✅ Assessment della postura di sicurezza di Microsoft Entra ID e Microsoft 365 – Analizziamo il tuo ambiente per identificare configurazioni a rischio e garantire che non stai esponendo account a minacce come nOAuth;
✅ Controllo delle applicazioni federate – Verifichiamo se le app collegate al tuo tenant accettano email non verificate o sono vulnerabili al takeover di identità;
✅ Supporto nella scelta e nella gestione delle app SaaS. Ti aiutiamo a scegliere solo fornitori affidabili, a contattarli e a gestire eventuali problemi di sicurezza;
✅ Formazione mirata per il tuo team IT. Spieghiamo come riconoscere i segnali di una configurazione a rischio e come gestire i token di accesso e le richieste federate in modo sicuro;
✅ Automazione e alerting con Microsoft Sentinel e Power Automate. Implementiamo log intelligenti e correlazione eventi per individuare anomalie potenzialmente legate a nOAuth.
nOAuth è una minaccia subdola: non sfrutta un bug tecnico, ma un errore umano di configurazione che si è diffuso nel tempo.
E come spesso accade nel mondo IT, la responsabilità della difesa ricade sugli utenti e sulle imprese, anche se non hanno strumenti per contrastarla da sole.
In EKO365 crediamo che la sicurezza sia una responsabilità condivisa.
Le PMI devono potersi concentrare sul loro lavoro, sapendo che dietro c’è qualcuno che vigila sul loro ecosistema digitale.
Contattaci per una valutazione gratuita del tuo ambiente Entra ID e Microsoft 365.
Non aspettare che un attacco ti colga di sorpresa.
