Una vulnerabilità in Microsoft Entra ID ha permesso agli attaccanti di aggirare ogni politica di Conditional Access, inclusa l’MFA

Il 22 giugno 2026, il ricercatore di NetSPI Thomas Byrne ha reso pubblica una vulnerabilità nel framework Nested App Authentication (NAA) di Microsoft Entra ID, noto anche come BroCI, che permetteva agli attaccanti di bypassare qualsiasi policy di Conditional Access (CAP), inclusi i requisiti MFA, i controlli di conformità del dispositivo e le limitazioni basate sulla posizione . La falla è stata corretta lato server da Microsoft come problema di gravità media, ma la sua divulgazione ha segnato un momento significativo per la sicurezza dell'identità, essendo stata rivelata insieme a un secondo metodo di bypass separato e a una serie di modifiche all'enforcement da parte di Microsoft.

La vulnerabilità: come NAA ha permesso di bypassare tutti i controlli

Nested App Authentication è il meccanismo SSO OAuth personalizzato di Microsoft progettato per consentire a un'applicazione "host" (come il portale Azure) di negoziare silenziosamente scambi di token per applicazioni figlio annidate senza richiedere nuovamente l'autenticazione all'utente . Funziona incorporando parametri speciali (brk_client_id, brk_redirect_uri) nelle richieste di token OAuth standard a login.microsoftonline.com .

Byrne ha scoperto che questo meccanismo presentava una falla critica. La vulnerabilità riguardava in particolare i flussi in cui il client ADIbizaUX – il componente di gestione IAM del portale Azure – negoziava un token di aggiornamento del portale Azure memorizzato nella cache per richiedere un token di accesso per Microsoft Graph API . Normalmente, gli scambi di token di aggiornamento sono soggetti alla valutazione di Conditional Access, ma NetSPI ha scoperto che utilizzando il flusso NAA con ADIbizaUX per la risorsa Microsoft Graph, le policy di Conditional Access non venivano affatto valutate . Veniva emesso un token di accesso indipendentemente dalle policy configurate. Anche due ID client aggiuntivi dell'estensione del portale Microsoft Intune mostravano lo stesso comportamento di bypass .

Lo scenario d'attacco: persistenza post-compromissione senza rilevamento

L'attacco richiede una pre-condizione specifica (un token di aggiornamento rubato del portale Azure), ma è molto efficace per la persistenza e il movimento laterale post-compromissione . Lo scenario si articola in quattro fasi:

1. Compromissione iniziale: Un attaccante ruba un token di aggiornamento valido del portale Azure, ad esempio tramite phishing, attacchi proxy adversary-in-the-middle (AITM) mirati a login.microsoftonline.com o altri metodi di furto di token .
2. Negoziazione del token tramite NAA: L'attaccante utilizza il token di aggiornamento rubato del portale Azure e il flusso di negoziazione NAA (tramite ADIbizaUX o le estensioni del portale Intune) per scambiarlo silenziosamente con un token di accesso a Microsoft Graph .
3. Bypass di tutti i controlli: Il token di Graph viene emesso senza alcuna valutazione di Conditional Access – nessun prompt MFA, nessun controllo di conformità del dispositivo, nessuna restrizione di posizione – anche se tali policy sono esplicitamente configurate .
4. Persistenza e movimento laterale: ADIbizaUX dispone di ampie autorizzazioni pre-consentite su Graph ed espone API non documentate per la gestione di utenti, gruppi, service principal, applicazioni, directory e persino policy di Conditional Access – il tutto senza registrazione nei log, il che significa che le azioni passano completamente inosservate .

La vulnerabilità ha dei limiti. Il token di aggiornamento rubato del portale Azure ha una durata fissa di 24 ore e non è rinnovabile, limitando la finestra di persistenza . L'attaccante deve già possedere il token di aggiornamento della vittima, rendendo questa una tecnica di escalation e persistenza post-compromissione, non un'esecuzione di codice in remoto . Ciononostante, il bypass è stato classificato come di gravità media dal Microsoft Security Response Center (MSRC) .

La risposta di Microsoft: correzione lato server senza CVE

NetSPI ha segnalato il problema a MSRC il 17 marzo 2026 . MSRC lo ha classificato come vulnerabilità di gravità media e ha distribuito una correzione lato server. I test post-patch hanno confermato che i flussi NAA precedentemente riusciti ora restituiscono correttamente errori di accesso bloccato AADSTS53003 quando viene applicata una policy di Conditional Access . Microsoft non ha assegnato un CVE per questo problema specifico e la correzione non ha richiesto alcuna azione da parte del cliente .

Contesto più ampio: due bypass di Conditional Access divulgati lo stesso giorno

Il 22 giugno 2026, i ricercatori hanno divulgato due metodi separati di bypass di Conditional Access di Entra nello stesso giorno :

Risultato	Fonte	Meccanismo	Risposta di Microsoft
Bypass NAA / BroCI	NetSPI (Thomas Byrne)	Abuso della negoziazione di token Nested App Authentication tramite ADIbizaUX e le estensioni del portale Intune	Correzione di gravità media da parte di MSRC; ora restituisce AADSTS53003
Bypass esclusione risorse	Dirk-jan Molenaar (dirkjanm.io)	Le policy che mirano a "Tutte le risorse" con almeno una risorsa esclusa potevano essere bypassate per i token di Graph utilizzando solo ambiti OIDC/directory di base	Microsoft ha riconosciuto e iniziato a implementare l'enforcement degli ambiti di base a partire dal 15 giugno 2026; adesione anticipata disponibile tramite il Centro di amministrazione Entra

Le modifiche più ampie all'enforcement di Conditional Access di Microsoft nel 2026

Oltre alla correzione del bypass NAA, Microsoft ha progressivamente chiuso le lacune nell'enforcement di Conditional Access durante tutto il 2026:

• 27 marzo 2026 – giugno 2026 (graduale): Microsoft ha modificato il modo in cui vengono applicate le policy CA che mirano a "Tutte le risorse" quando tali policy includono esclusioni di risorse. In precedenza, gli accessi che richiedevano solo ambiti OIDC di base (come openid, profile, User.Read) potevano bypassare completamente Conditional Access se una policy aveva una qualsiasi esclusione di risorsa. La modifica garantisce che le policy con esclusioni vengano comunque valutate rispetto all'ambito "Tutte le risorse" . Microsoft ha notificato i tenant interessati tramite la voce del Centro messaggi MC1223829 .
• 15 giugno 2026: Microsoft ha iniziato l'applicazione dell'enforcement degli ambiti di base specificamente per il bypass dell'esclusione delle risorse, chiudendo la via di bypass del token di Graph divulgata da Dirk-jan Molenaar .
• 31 marzo 2026: Microsoft ha imposto il ritiro dell'autenticazione senza service principal per le applicazioni multi-tenant non Microsoft. Tutte le applicazioni devono autenticarsi utilizzando un service principal registrato; in caso contrario, i flussi di accesso falliranno .
• Giugno 2026: Microsoft ha annunciato aggiornamenti di sicurezza più ampi per Entra ID, tra cui la sostituzione dei controlli personalizzati con MFA esterna, l'applicazione coerente di Conditional Access durante la registrazione delle credenziali e la richiesta di metodi di autenticazione esplicitamente registrati per la reimpostazione della password self-service (SSPR) .

Punti chiave per i difensori

• Il bypass NAA è stato corretto lato server. Non è necessaria alcuna azione lato tenant per il risultato specifico di NetSPI .
• Per il bypass dell'esclusione delle risorse, abilitare l'opzione di enforcement degli ambiti di base nel Centro di amministrazione Entra per garantire una corretta valutazione di CA .
• Monitorare il codice di errore AADSTS53003, che ora blocca correttamente gli scambi di token NAA non autorizzati .
• Le API non documentate di ADIbizaUX che possono operare senza registrazione nei log rimangono una preoccupazione: le organizzazioni dovrebbero monitorare attentamente i log di accesso del portale Azure e i modelli di emissione dei token .
• Con il ritiro dell'autenticazione senza service principal dal 31 marzo 2026, assicurarsi che tutte le app multi-tenant abbiano service principal registrati .