Modern technology gives us many things.

Η Microsoft επιδιορθώνει το ελάττωμα του Azure AD auth που επιτρέπει την ανάληψη λογαριασμού

Η Microsoft έχει αντιμετωπίσει ένα ελάττωμα ελέγχου ταυτότητας του Azure Active Directory (Azure AD) που θα μπορούσε να επιτρέψει στους παράγοντες απειλών να κλιμακώσουν τα προνόμια και ενδεχομένως να καταλάβουν πλήρως τον λογαριασμό του στόχου.

Αυτή η εσφαλμένη διαμόρφωση (με όνομα nOAuth από την ομάδα ασφαλείας της Descope που το ανακάλυψε) θα μπορούσε να γίνει κατάχρηση σε επιθέσεις κλιμάκωσης λογαριασμών και προνομίων εναντίον εφαρμογών Azure AD OAuth που έχουν ρυθμιστεί να χρησιμοποιούν την αξίωση ηλεκτρονικού ταχυδρομείου από διακριτικά πρόσβασης για εξουσιοδότηση.

Ένας εισβολέας έπρεπε μόνο να αλλάξει το μήνυμα ηλεκτρονικού ταχυδρομείου στον λογαριασμό διαχειριστή του Azure AD στη διεύθυνση ηλεκτρονικού ταχυδρομείου του θύματος και να χρησιμοποιήσει τη λειτουργία “Σύνδεση με τη Microsoft” για εξουσιοδότηση στην ευάλωτη εφαρμογή ή ιστότοπο.

Αυτό τους επιτρέπει να έχουν τον πλήρη έλεγχο του λογαριασμού του στόχου εάν οι στοχευμένοι πόροι επέτρεπαν τη χρήση διευθύνσεων email ως μοναδικών αναγνωριστικών κατά τη διαδικασία εξουσιοδότησης.

Αυτή η τακτική μπορεί επίσης να χρησιμοποιηθεί όταν το θύμα δεν έχει καν λογαριασμό Microsoft και ήταν μια εφικτή μέθοδος επίθεσης επειδή το Azure AD δεν απαιτούσε την επικύρωση των αλλαγών email.

Ροή επίθεσης nOAuth
Ροή επίθεσης nOAuth (Descope)

“Εάν η εφαρμογή συγχωνεύει λογαριασμούς χρηστών χωρίς επικύρωση, ο εισβολέας έχει πλέον τον πλήρη έλεγχο του λογαριασμού του θύματος, ακόμα κι αν το θύμα δεν έχει λογαριασμό Microsoft.” είπε ο Descope.

“Μετά την επιτυχή σύνδεση, ο εισβολέας έχει ένα ανοιχτό πεδίο ανάλογα με τη φύση της εφαρμογής ή του ιστότοπου που έχει αναλάβει. Μπορεί να δημιουργήσει επιμονή, να διεισδύσει δεδομένα, να διερευνήσει εάν είναι δυνατή η πλευρική κίνηση κ.λπ..”

Μεταξύ πολλών μεγάλων οργανισμών που βρέθηκαν ευάλωτοι σε αυτό το είδος επίθεσης, η Descope ανακάλυψε μια εφαρμογή σχεδίασης με εκατομμύρια μηνιαίους χρήστες, μια εταιρεία εμπειριών πελατών που διαπραγματεύεται δημόσια και μια που ανήκει σε κορυφαίο πάροχο συμβούλων πολλαπλών νέφους.

Η Descope μοιράστηκε επίσης ένα βίντεο (ενσωματωμένο παρακάτω) που περιγράφει λεπτομερώς πώς η εκμετάλλευση αυτής της εσφαλμένης διαμόρφωσης εξουσιοδότησης AAD μπορεί να οδηγήσει σε πλήρη κατάκτηση λογαριασμού και να αποτραπούν πληροφορίες σχετικά με αυτό.

​Η Microsoft διόρθωσε τη διαμόρφωση nOAuth μέσω μετριασμού που εκδόθηκαν σήμερα, μετά από μια αρχική αναφορά που στάλθηκε από την Descope στις 11 Απριλίου 2023.

“Η Microsoft έχει εντοπίσει πολλές εφαρμογές πολλαπλών μισθωτών με χρήστες που χρησιμοποιούν μια διεύθυνση email με μη επαληθευμένο κάτοχο τομέα,” Redmond είπε.

“Εάν δεν λάβατε ειδοποίηση, η εφαρμογή σας δεν έχει καταναλώσει αξιώσεις μέσω email με μη επαληθευμένους κατόχους τομέα.

“Για την προστασία των πελατών και των εφαρμογών που ενδέχεται να είναι ευάλωτες σε κλιμάκωση προνομίων, η Microsoft έχει αναπτύξει μέτρα μετριασμού για την παράλειψη αξιώσεων διακριτικών από μη επαληθευμένους κατόχους τομέα για τις περισσότερες εφαρμογές.”

Η εταιρεία συμβούλευσε επίσης ανεπιφύλακτα τους προγραμματιστές να αξιολογήσουν διεξοδικά την επιχειρηματική λογική εξουσιοδότησης των εφαρμογών τους και να τηρούν αυτές τις οδηγίες για προστασία από μη εξουσιοδοτημένη πρόσβαση.

Επιπλέον, οι προγραμματιστές ενθαρρύνονται να τα υιοθετήσουν συνιστώμενες βέλτιστες πρακτικές για επικύρωση διακριτικού κατά τη χρήση της πλατφόρμας ταυτότητας της Microsoft.



bleepingcomputer.com

Follow TechWar.gr on Google News

Απάντηση