Опасната уязвимост беше открита от SecureWorks по-рано тази година.
- Нападателят просто ще отвлече изоставен URL адрес и ще го използва, за да получи повишени привилегии.
- Уязвимостта е открита от SecureWorks, фирма за киберсигурност.
- Microsoft се обърна към него веднага, но това говори много за нивото на киберсигурност.
По-рано тази година Microsoft Entra ID (който дотогава беше известен като Azure Active Directory) може лесно да бъде хакнат и компрометиран от хакери, използващи URL адреси за изоставен отговор. Екип от изследователи от SecureWorks откри тази уязвимост и предупреди Microsoft.
Базираният в Редмънд технологичен гигант бързо се справи с уязвимостта и в рамките на 24 часа след първоначалното съобщение премахна URL адреса на изоставения отговор в Microsoft Entra ID.
Сега, почти 6 месеца след това откритие, екипът зад него, разкрити в публикация в блог, процесът, който се крие зад заразяването на изоставени URL адреси за отговори и използването им за запалване на Microsoft Entra ID, което по същество го компрометира.
Използвайки изоставения URL адрес, нападателят може лесно да получи повишени привилегии на организацията, използвайки Microsoft Entra ID. Излишно е да казвам, че уязвимостта представляваше голям риск и Microsoft очевидно не е знаела за това.
Нападател може да използва този изоставен URL адрес, за да пренасочи кодовете за оторизация към себе си, като обмени неправомерно получените кодове за оторизация за токени за достъп. След това заплахата може да извика API на Power Platform чрез услуга от средно ниво и да получи повишени привилегии.
SecureWorks
Ето как един нападател би се възползвал от уязвимостта на Microsoft Entra ID
- URL адресът на изоставения отговор ще бъде открит от нападателя и отвлечен със злонамерена връзка.
- След това тази злонамерена връзка ще бъде достъпна от жертва. След това Entra ID ще пренасочи системата на жертвата към URL адреса за отговор, който също ще включва кода за оторизация в URL адреса.
- Злонамереният сървър обменя кода за оторизация за токена за достъп.
- Злонамереният сървър се обажда на услугата от средно ниво, използвайки токена за достъп и предвидения API, и Microsoft Entra ID в крайна сметка ще бъде компрометиран.
Въпреки това, екипът, който стои зад изследването, също така откри, че нападателят може просто да обмени кодовете за оторизация за токени за достъп, без да препредава токени към услугата от средно ниво.
Като се има предвид колко лесно би било за един нападател да компрометира ефективно сървърите на Entra ID, Microsoft бързо се справи с този проблем и пусна актуализация за него на следващия ден.
Но е доста интересно да се види как базираният в Редмънд технологичен гигант никога не е виждал тази уязвимост в началото. Microsoft обаче има история на известно пренебрегване на уязвимостите.
По-рано това лято, компанията беше силно критикувана от Tenable, друга престижна фирма за киберсигурност, за това, че не успя да се справи с друга опасна уязвимост, която би позволила на злонамерени субекти да получат достъп до банковата информация на потребителите на Microsoft.
Ясно е, че Microsoft трябва по някакъв начин да разшири своя отдел за киберсигурност. Какво мислиш за това?
