Новая схема Microsoft упрощает доступ и одновременно пугает специалистов по безопасности.
Microsoft внедрила новый механизм под названием Nested App Authentication (NAA) — «вложенная аутентификация приложений», который постепенно становится важной частью облачной экосистемы компании. Идея проста: если пользователь уже вошёл в одно приложение, это приложение может выступить в роли «посредника» и выдать токены для доступа к другим сервисам. Такой подход повышает безопасность и упрощает работу, позволяя, например, без повторного входа переключаться между администраторскими порталами или сервисами Azure.
Технология стала общедоступной в октябре 2024 года, и теперь её можно использовать как в продуктах Microsoft, так и в сторонних приложениях. Среди исследователей закрепилось и другое название — BroCI (brokered client IDs), по аналогии с FOCI, которое обозначает «семейство клиентских ID». Дело в том, что аббревиатура NAA уже используется в других продуктах Microsoft, поэтому в некоторых публикациях можно встретить именно BroCI.
Внимание специалистов к новой схеме возникло не случайно. Уже в начале 2025 года на хакатоне команда SpecterOps впервые подробно изучила работу NAA, а вскоре механизмы «брокерских» запросов появились в популярных инструментах для работы с Azure — roadtx, Maestro и EntraTokenAid. Другие исследователи, в частности Дирк-Ян Моллема и Фабиан Бадер, выпустили сервисы для анализа приложений и их разрешений, а сообщество быстро наработало практические сценарии использования.
Зачем это может понадобиться? В ряде случаев токенов, сохранённых в кеше пользователя, недостаточно. С помощью NAA можно «передать» уже выданный токен в новое приложение и получить доступ к дополнительным ресурсам. Например, активировать роль в Privileged Identity Management, даже если пользователь давно не открывал соответствующий портал, или получить секрет из Azure Key Vault. Важный момент — вместе с токеном переносится и информация о прохождении многофакторной аутентификации. То есть если администратор один раз подтвердил вход с MFA в Azure Portal, то брокерский запрос позволит использовать это подтверждение и в других сервисах, обходясь без нового ввода кода.
Исследователи разные варианты применения NAA: от ручной сборки запроса через curl до автоматизации в PowerShell и специализированных утилитах. В частности, Maestro позволяет буквально двумя командами, имея только refresh-токен от Azure Portal, получить список устройств Intune. А roadtx облегчает извлечение секретов из Key Vault, сохраняя при этом все требования MFA.
Таким образом, NAA открывает новые возможности не только для разработчиков, но и для специалистов по безопасности. С одной стороны, это удобный инструмент для построения более гибкой архитектуры приложений и упрощения входа. С другой — потенциальный вектор атак, если злоумышленник получит refresh-токен администратора. Именно поэтому сообщество исследователей так активно изучает и документирует работу этой технологии: чтобы заранее понять её сильные и слабые стороны.
И хотя сама Microsoft продвигает Nested App Authentication как способ «повысить безопасность и гибкость архитектуры», практика показывает: в умелых руках этот инструмент может стать как мощным подспорьем для администрирования, так и удобным трамплином для атакующих.
Подробнее:
Microsoft внедрила новый механизм под названием Nested App Authentication (NAA) — «вложенная аутентификация приложений», который постепенно становится важной частью облачной экосистемы компании. Идея проста: если пользователь уже вошёл в одно приложение, это приложение может выступить в роли «посредника» и выдать токены для доступа к другим сервисам. Такой подход повышает безопасность и упрощает работу, позволяя, например, без повторного входа переключаться между администраторскими порталами или сервисами Azure.
Технология стала общедоступной в октябре 2024 года, и теперь её можно использовать как в продуктах Microsoft, так и в сторонних приложениях. Среди исследователей закрепилось и другое название — BroCI (brokered client IDs), по аналогии с FOCI, которое обозначает «семейство клиентских ID». Дело в том, что аббревиатура NAA уже используется в других продуктах Microsoft, поэтому в некоторых публикациях можно встретить именно BroCI.
Внимание специалистов к новой схеме возникло не случайно. Уже в начале 2025 года на хакатоне команда SpecterOps впервые подробно изучила работу NAA, а вскоре механизмы «брокерских» запросов появились в популярных инструментах для работы с Azure — roadtx, Maestro и EntraTokenAid. Другие исследователи, в частности Дирк-Ян Моллема и Фабиан Бадер, выпустили сервисы для анализа приложений и их разрешений, а сообщество быстро наработало практические сценарии использования.
Зачем это может понадобиться? В ряде случаев токенов, сохранённых в кеше пользователя, недостаточно. С помощью NAA можно «передать» уже выданный токен в новое приложение и получить доступ к дополнительным ресурсам. Например, активировать роль в Privileged Identity Management, даже если пользователь давно не открывал соответствующий портал, или получить секрет из Azure Key Vault. Важный момент — вместе с токеном переносится и информация о прохождении многофакторной аутентификации. То есть если администратор один раз подтвердил вход с MFA в Azure Portal, то брокерский запрос позволит использовать это подтверждение и в других сервисах, обходясь без нового ввода кода.
Исследователи разные варианты применения NAA: от ручной сборки запроса через curl до автоматизации в PowerShell и специализированных утилитах. В частности, Maestro позволяет буквально двумя командами, имея только refresh-токен от Azure Portal, получить список устройств Intune. А roadtx облегчает извлечение секретов из Key Vault, сохраняя при этом все требования MFA.
Таким образом, NAA открывает новые возможности не только для разработчиков, но и для специалистов по безопасности. С одной стороны, это удобный инструмент для построения более гибкой архитектуры приложений и упрощения входа. С другой — потенциальный вектор атак, если злоумышленник получит refresh-токен администратора. Именно поэтому сообщество исследователей так активно изучает и документирует работу этой технологии: чтобы заранее понять её сильные и слабые стороны.
И хотя сама Microsoft продвигает Nested App Authentication как способ «повысить безопасность и гибкость архитектуры», практика показывает: в умелых руках этот инструмент может стать как мощным подспорьем для администрирования, так и удобным трамплином для атакующих.
Подробнее:
