Eric Woodruff, arquitecto jefe de identidad de Semperis, presentó sus hallazgos esta semana en la conferencia Troopers 2025 en Heidelberg (Alemania). La vulnerabilidad nOAuth fue revelada por primera vez en 2023 por Omer Cohen de Descope, quien destacó una falla en la forma en que algunas aplicaciones SaaS implementan OpenID Connect. La investigación de seguimiento realizada por Semperis se centró en aplicaciones integradas con Entra dentro de la Galería de Aplicaciones de Microsoft Entra, identificando una amplia variedad de aplicaciones que aún son vulnerables al abuso de nOAuth más de un año después.

Descubierta a través de pruebas entre inquilinos (cross-tenant), nOAuth explota configuraciones de aplicaciones en Entra ID que permiten el uso de peticiones de correo electrónico no verificadas como identificadores de usuario, lo cual es un patrón no recomendado según los estándares de OpenID Connect. En estos escenarios, los atacantes solo necesitan un inquilino de Entra y la dirección de correo electrónico de la víctima para tomar el control de la cuenta SaaS de la víctima. Medidas tradicionales de protección como MFA (autenticación multifactor), acceso condicional y políticas de Zero Trust no ofrecen defensa alguna frente a este ataque.

“Es fácil que desarrolladores bien intencionados sigan patrones inseguros sin darse cuenta, y en muchos casos, ni siquiera sepan qué deben buscar,” ha afirmado Woodruff. “Mientras tanto, los clientes no tienen forma de detectar o detener el ataque, lo que convierte esta amenaza en algo especialmente peligroso y persistente.”