O Perigo dos User Pools Multi-SSO do AWS Cognito

A Doyensec detalhou quatro padrões de ataque contra User Pools multi-tenant do AWS Cognito que aceitam IdPs OIDC/SAML fornecidos pelo tenant: injeção de identidade fantasma JIT quando PreSignUp_ExternalProvider não verifica domínios, gaps de trigger-source onde restrições aplicadas apenas a PreAuthentication_Authentication ignoram primeiros logins federados, ataques de sub-splitting contra parsing de userName ProviderName_sub, e sequestros de IdpIdentifier (ex.: reivindicar gmail.com) quando propriedade do domínio não é verificada. Colisões homoglyph no ProviderName (е cirílico vs e ASCII) também permitem confusão de identidade dividida entre Hosted UI, logs de auditoria e consumidores Lambda. Defensores devem ramificar lógica PreSignUp através de todos os valores triggerSource, fazer parse de usernames com split("_", 1) consistentemente tanto em guard quanto consumer, derivar atributos tenant/role server-side ao invés de via AttributeMapping, e restringir claims IdpIdentifier atrás de propriedade de domínio verificada; a Doyensec também lançou o maSSO, um IdP OIDC/SAML/SCIM weaponizado para testes de SP.