Новая аутентификация Microsoft: возможности и риски

Microsoft анонсировала внедрение новой технологии под названием Nested App Authentication (NAA), которая находит всё большее применение в облачных сервисах компании. Суть метода заключается в том, что если пользователь уже вошёл в одно приложение, оно может выступать в роли «посредника», выдавая токены для доступа к другим ресурсам. Это не только упрощает работу, позволяя переходить между порталами без повторного входа, но и повышает безопасность.

С октября 2024 года NAA доступна для использования в продуктах Microsoft и сторонних приложениях. Однако, исследователи начали проявлять интерес к этой технологии, так как она может создать вектор для атак, если злоумышленник получит refresh-токен администратора. Команда SpecterOps уже изучила работу механизма, а популярные инструменты для Azure начали его интеграцию.

Среди возможностей NAA — передача выданного токена в новое приложение, что позволяет, например, активировать роли в Privileged Identity Management без повторного ввода кода MFA. Кроме того, улучшения коснулись и других продуктов, таких как grml, где разработчики обновили ключи для репозиториев и улучшили сборку ISO-образов.

Помогите проекту, поделитесь с друзьями ;)

Добавить комментарий