Die gefährliche Sicherheitslücke wurde Anfang des Jahres von SecureWorks entdeckt.
- Ein Angreifer würde einfach eine verlassene URL kapern und sie nutzen, um sich erweiterte Berechtigungen zu verschaffen.
- Die Sicherheitslücke wurde von SecureWorks, einem Cybersicherheitsunternehmen, entdeckt.
- Microsoft hat sich sofort darum gekümmert, es spricht jedoch Bände über den Grad der Cybersicherheit.
Anfang dieses Jahres wurde Microsoft Entra ID (damals bekannt als Azure Active Directory) hätte von Hackern, die verlassene Antwort-URLs verwenden, leicht gehackt und kompromittiert werden können. Ein Forscherteam von SecureWorks hat diese Schwachstelle entdeckt und Microsoft alarmiert.
Der in Redmond ansässige Technologieriese hat die Sicherheitslücke schnell behoben und innerhalb von 24 Stunden nach der ersten Ankündigung die abgebrochene Antwort-URL in Microsoft Entra ID entfernt.
Jetzt, fast sechs Monate nach dieser Entdeckung, hat das Team dahinter in einem Blogbeitrag aufgedeckt, der Prozess, der dahinter steckt, abgebrochene Antwort-URLs zu infizieren und sie zu nutzen, um die Microsoft Entra ID in Brand zu setzen und sie im Wesentlichen zu kompromittieren.
Mithilfe der verlassenen URL könnte ein Angreifer mithilfe der Microsoft Entra ID leicht erweiterte Berechtigungen der Organisation erlangen. Es versteht sich von selbst, dass die Sicherheitslücke ein großes Risiko darstellte und Microsoft sich dessen offenbar nicht bewusst war.
Ein Angreifer könnte diese verlassene URL nutzen, um Autorisierungscodes an sich selbst umzuleiten und die unrechtmäßig erlangten Autorisierungscodes gegen Zugriffstoken einzutauschen. Der Bedrohungsakteur könnte dann die Power Platform API über einen Mittelschichtdienst aufrufen und erhöhte Berechtigungen erhalten.
SecureWorks
Auf diese Weise würde ein Angreifer die Microsoft Entra ID-Sicherheitslücke ausnutzen
- Die verlassene Antwort-URL würde vom Angreifer entdeckt und mit einem bösartigen Link gekapert werden.
- Auf diesen bösartigen Link würde dann ein Opfer zugreifen. Entra ID würde dann das System des Opfers zur Antwort-URL umleiten, die auch den Autorisierungscode in der URL enthalten würde.
- Der bösartige Server tauscht den Autorisierungscode gegen das Zugriffstoken aus.
- Der böswillige Server ruft den Middle-Tier-Dienst mithilfe des Zugriffstokens und der vorgesehenen API auf, wodurch die Microsoft Entra-ID letztendlich kompromittiert wird.
Allerdings entdeckte das Team hinter der Untersuchung auch, dass ein Angreifer einfach die Autorisierungscodes gegen Zugriffstokens austauschen könnte, ohne die Tokens an den Mittelschichtdienst weiterzuleiten.
Angesichts der Tatsache, wie einfach es für einen Angreifer gewesen wäre, die Entra-ID-Server effektiv zu kompromittieren, hat Microsoft dieses Problem schnell behoben und am folgenden Tag ein Update dafür veröffentlicht.
Es ist jedoch sehr interessant zu sehen, dass der in Redmond ansässige Technologieriese diese Schwachstelle überhaupt nicht erkannt hat. Allerdings hat Microsoft in der Vergangenheit Schwachstellen etwas vernachlässigt.
Anfang dieses Sommers Das Unternehmen wurde von Tenable heftig kritisiert, ein weiteres renommiertes Cybersicherheitsunternehmen, wegen Versäumnis, eine weitere gefährliche Sicherheitslücke zu schließen, die es böswilligen Unternehmen ermöglichen würde, auf die Bankinformationen von Microsoft-Benutzern zuzugreifen.
Es ist klar, dass Microsoft seine Cybersicherheitsabteilung irgendwie erweitern muss. Was denkst du darüber?
![10 beste Antivirensoftware mit kostenloser Testversion [Virenschutz]](/f/fe50cc82ad904e047cc09f44d275a4c7.jpg?width=300&height=460)