De gevaarlijke kwetsbaarheid werd eerder dit jaar ontdekt door SecureWorks.
- Een aanvaller zou eenvoudigweg een verlaten URL kapen en deze gebruiken om verhoogde rechten te verkrijgen.
- De kwetsbaarheid werd ontdekt door SecureWorks, een cybersecuritybedrijf.
- Microsoft heeft het meteen aangepakt, maar het spreekt boekdelen over het niveau van cyberbeveiliging.
Eerder dit jaar lanceerde Microsoft Entra ID (dat toen bekend stond als Azure Active Directory) had gemakkelijk kunnen worden gehackt en gecompromitteerd door hackers die verlaten antwoord-URL's gebruikten. Een team van onderzoekers van SecureWorks ontdekte dit beveiligingslek en waarschuwde Microsoft.
De in Redmond gevestigde technologiegigant heeft de kwetsbaarheid snel aangepakt en binnen 24 uur na de eerste aankondiging verwijderde het de verlaten antwoord-URL in Microsoft Entra ID.
Nu, bijna zes maanden na deze ontdekking, heeft het team erachter, ontdekt in een blogpost, het proces dat schuilgaat achter het infecteren van verlaten antwoord-URL's en het gebruik ervan om Microsoft Entra ID in brand te steken, waardoor deze feitelijk in gevaar wordt gebracht.
Met behulp van de verlaten URL kan een aanvaller gemakkelijk verhoogde bevoegdheden van de organisatie verkrijgen met behulp van Microsoft Entra ID. Het spreekt voor zich dat de kwetsbaarheid een groot risico met zich meebracht, en Microsoft was zich daar kennelijk niet van bewust.
Een aanvaller kan deze verlaten URL gebruiken om autorisatiecodes naar zichzelf om te leiden, waarbij de onrechtmatig verkregen autorisatiecodes worden uitgewisseld voor toegangstokens. De bedreigingsacteur kan vervolgens de Power Platform API aanroepen via een service uit het middensegment en verhoogde rechten verkrijgen.
SecureWorks
Op deze manier zou een aanvaller misbruik kunnen maken van de Microsoft Entra ID-kwetsbaarheid
- De verlaten antwoord-URL zou door de aanvaller worden ontdekt en gekaapt met een kwaadaardige link.
- Deze kwaadaardige link zou vervolgens door een slachtoffer kunnen worden geopend. Entra ID zou vervolgens het systeem van het slachtoffer omleiden naar de antwoord-URL, die ook de autorisatiecode in de URL zou opnemen.
- De kwaadwillende server wisselt de autorisatiecode voor het toegangstoken uit.
- De kwaadwillende server roept de middle-tier-service aan met behulp van het toegangstoken en de beoogde API, en de Microsoft Entra ID zou uiteindelijk in gevaar komen.
Het team achter het onderzoek ontdekte echter ook dat een aanvaller eenvoudigweg de autorisatiecodes voor toegangstokens kon uitwisselen zonder tokens door te geven aan de middendienst.
Gezien hoe gemakkelijk het voor een aanvaller zou zijn geweest om Entra ID-servers effectief binnen te dringen, heeft Microsoft dit probleem snel aangepakt en de volgende dag een update uitgebracht.
Maar het is best interessant om te zien hoe de in Redmond gevestigde technologiegigant deze kwetsbaarheid om te beginnen nooit heeft gezien. Microsoft heeft echter een geschiedenis van het enigszins verwaarlozen van kwetsbaarheden.
Eerder deze zomer, het bedrijf kreeg zware kritiek van Tenable, een ander prestigieus cyberbeveiligingsbedrijf, omdat het er niet in is geslaagd een andere gevaarlijke kwetsbaarheid aan te pakken waardoor kwaadaardige entiteiten toegang zouden krijgen tot de bankgegevens van Microsoft-gebruikers.
Het is duidelijk dat Microsoft zijn cybersecurity-afdeling op de een of andere manier moet uitbreiden. Wat denk jij ervan?
