الإجاباتمنشور23 المصادر
ثغرة خطيرة في Microsoft Entra ID: تجاوز كامل للمصادقة متعددة العوامل عبر Nested App Authentication
اكتشف الباحث توماس بيرن من NetSPI أن إطار عمل Nested App Authentication (NAA) يمكن استغلاله للحصول على رموز Microsoft Graph دون أي تقييم لسياسات الوصول المشروط، متجاوزًا MFA والتحقق من الأجهزة يتطلب الهجوم الحصول على رمز تحديث لبوابة Azure (عبر التصيد مثلًا)، ولكنه يسمح بعد ذلك بالحصول على رمز وصول لـ Graph دون أي ت...
13K0
موجّه الذكاء الاصطناعي
openai.comCreate a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What was the Microsoft Entra ID vulnerability publicly disclosed by NetSPI researchers, how did i. Article summary: Here is the full fact-checked breakdown of the NetSPI-disclosed Microsoft Entra ID vulnerability, the attack scenario, Microsoft's response, and the broader Conditional Access enforcement changes.. Topic tags: general, general web, user generated. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait th
في 22 يونيو 2026، كشف الباحث توماس بيرن من شركة NetSPI عن ثغرة أمنية في إطار عمل Nested App Authentication (NAA) في Microsoft Entra ID (المعروف أيضًا باسم BroCI) . تسمح هذه الثغرة للمهاجمين بتجاوز أي سياسة وصول مشروط (CAP)، بما في ذلك متطلبات المصادقة متعددة العوامل (MFA)، وفحوصات امتثال الأجهزة، وعناصر التحكم القائمة على الموقع
. قامت Microsoft بإصلاح هذه الثغرة من جانب الخادم كمسألة ذات خطورة متوسطة، لكن الكشف عنها يمثل لحظة مهمة لأمن الهوية حيث تم الكشف عنها جنبًا إلى جنب مع طريقة تجاوز ثانية منفصلة وسلسلة من تغييرات الإنفاذ من Microsoft.
الثغرة: كيف يتجاوز NAA جميع عناصر التحكم
Nested App Authentication هي آلية تسجيل دخول أحادي مخصصة من Microsoft (SSO) تسمح لتطبيق "مضيف"، مثل بوابة Azure، بإجراء تبادل رموز صامت لتطبيقات فرعية متداخلة دون إعادة مطالبة المستخدم . تعمل عن طريق تضمين معلمات خاصة (، ) في طلبات رمز OAuth القياسية إلى .
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
يسأل الناس أيضا
ما هي الإجابة المختصرة على "ثغرة خطيرة في Microsoft Entra ID: تجاوز كامل للمصادقة متعددة العوامل عبر Nested App Authentication"؟
اكتشف الباحث توماس بيرن من NetSPI أن إطار عمل Nested App Authentication (NAA) يمكن استغلاله للحصول على رموز Microsoft Graph دون أي تقييم لسياسات الوصول المشروط، متجاوزًا MFA والتحقق من الأجهزة
ما هي النقاط الأساسية التي يجب التحقق منها أولاً؟
اكتشف الباحث توماس بيرن من NetSPI أن إطار عمل Nested App Authentication (NAA) يمكن استغلاله للحصول على رموز Microsoft Graph دون أي تقييم لسياسات الوصول المشروط، متجاوزًا MFA والتحقق من الأجهزة يتطلب الهجوم الحصول على رمز تحديث لبوابة Azure (عبر التصيد مثلًا)، ولكنه يسمح بعد ذلك بالحصول على رمز وصول لـ Graph دون أي تقييم للسياسات، مع صلاحيات واسعة ودون تسجيل أي أنشطة
ماذا يجب أن أفعل بعد ذلك في الممارسة العملية؟
في نفس اليوم، كشف باحث آخر عن ثغرة منفصلة تتعلق باستثناء الموارد، والتي بدأت Microsoft في إغلاقها عبر تطبيق نطاقات الأساس بدءًا من 15 يونيو 2026
المصادر
- netspi.comBypassing Microsoft Entra Conditional Access Policies via ...
- mallory.aiMicrosoft Entra Conditional Access Bypasses Exposed in ...
- netspi.comTechnical Blog - NetSPI
- guardz.comUnmasking Ongoing Attacks in Entra ID.docx
- cybersecuritynews.comMicrosoft Entra Conditional Access Policies Can Be Bypassed Via Nested App Authentication
Loading comments...
Comments
0 comments