Verlaten URL's kunnen Microsoft Entra ID in brand steken

De gevaarlijke kwetsbaarheid werd eerder dit jaar ontdekt door SecureWorks.

  • Een aanvaller zou eenvoudigweg een verlaten URL kapen en deze gebruiken om verhoogde rechten te verkrijgen.
  • De kwetsbaarheid werd ontdekt door SecureWorks, een cybersecuritybedrijf.
  • Microsoft heeft het meteen aangepakt, maar het spreekt boekdelen over het niveau van cyberbeveiliging.
microsoft entra id-kwetsbaarheid

Eerder dit jaar lanceerde Microsoft Entra ID (dat toen bekend stond als Azure Active Directory) had gemakkelijk kunnen worden gehackt en gecompromitteerd door hackers die verlaten antwoord-URL's gebruikten. Een team van onderzoekers van SecureWorks ontdekte dit beveiligingslek en waarschuwde Microsoft.

De in Redmond gevestigde technologiegigant heeft de kwetsbaarheid snel aangepakt en binnen 24 uur na de eerste aankondiging verwijderde het de verlaten antwoord-URL in Microsoft Entra ID.

Nu, bijna zes maanden na deze ontdekking, heeft het team erachter, ontdekt in een blogpost, het proces dat schuilgaat achter het infecteren van verlaten antwoord-URL's en het gebruik ervan om Microsoft Entra ID in brand te steken, waardoor deze feitelijk in gevaar wordt gebracht.

Met behulp van de verlaten URL kan een aanvaller gemakkelijk verhoogde bevoegdheden van de organisatie verkrijgen met behulp van Microsoft Entra ID. Het spreekt voor zich dat de kwetsbaarheid een groot risico met zich meebracht, en Microsoft was zich daar kennelijk niet van bewust.

Een aanvaller kan deze verlaten URL gebruiken om autorisatiecodes naar zichzelf om te leiden, waarbij de onrechtmatig verkregen autorisatiecodes worden uitgewisseld voor toegangstokens. De bedreigingsacteur kan vervolgens de Power Platform API aanroepen via een service uit het middensegment en verhoogde rechten verkrijgen.

SecureWorks

Op deze manier zou een aanvaller misbruik kunnen maken van de Microsoft Entra ID-kwetsbaarheid

  1. De verlaten antwoord-URL zou door de aanvaller worden ontdekt en gekaapt met een kwaadaardige link.
  2. Deze kwaadaardige link zou vervolgens door een slachtoffer kunnen worden geopend. Entra ID zou vervolgens het systeem van het slachtoffer omleiden naar de antwoord-URL, die ook de autorisatiecode in de URL zou opnemen.microsoft entra id-kwetsbaarheid
  3. De kwaadwillende server wisselt de autorisatiecode voor het toegangstoken uit.
  4. De kwaadwillende server roept de middle-tier-service aan met behulp van het toegangstoken en de beoogde API, en de Microsoft Entra ID zou uiteindelijk in gevaar komen.

Het team achter het onderzoek ontdekte echter ook dat een aanvaller eenvoudigweg de autorisatiecodes voor toegangstokens kon uitwisselen zonder tokens door te geven aan de middendienst.

Gezien hoe gemakkelijk het voor een aanvaller zou zijn geweest om Entra ID-servers effectief binnen te dringen, heeft Microsoft dit probleem snel aangepakt en de volgende dag een update uitgebracht.

Maar het is best interessant om te zien hoe de in Redmond gevestigde technologiegigant deze kwetsbaarheid om te beginnen nooit heeft gezien. Microsoft heeft echter een geschiedenis van het enigszins verwaarlozen van kwetsbaarheden.

Eerder deze zomer, het bedrijf kreeg zware kritiek van Tenable, een ander prestigieus cyberbeveiligingsbedrijf, omdat het er niet in is geslaagd een andere gevaarlijke kwetsbaarheid aan te pakken waardoor kwaadaardige entiteiten toegang zouden krijgen tot de bankgegevens van Microsoft-gebruikers.

Het is duidelijk dat Microsoft zijn cybersecurity-afdeling op de een of andere manier moet uitbreiden. Wat denk jij ervan?

Download deze tool om te controleren of de computer kwetsbaar is voor Meltdown & Spectre

Download deze tool om te controleren of de computer kwetsbaar is voor Meltdown & SpectreCyberbeveiliging

Meltdown en Spectre zijn de twee woorden die tegenwoordig op ieders lippen liggen. Veel computer-, telefoon- en servergebruikers maken zich nog steeds zorgen over het risico om slachtoffer te worde...

Lees verder
Emotet Trojan is terug met een nieuwe Office phishing-campagne

Emotet Trojan is terug met een nieuwe Office phishing-campagneMalwarebytes ProblemenTrojaansCyberbeveiliging

De Emotet banking-trojan is terug met een nieuwe phishing-zwendel van Microsoft Office. Als u het doelwit bent, ontvangt u een schadelijke e-mail die een URL of een geïnfecteerd Office-document bev...

Lees verder
Spyware van agent Tesla verspreidt zich via Microsoft Word-documenten

Spyware van agent Tesla verspreidt zich via Microsoft Word-documentenMicrosoft Word ProblemenSpywareCyberbeveiliging

Agent Tesla-malware werd verspreid via Microsoft Word documenten vorig jaar, en nu kwam het terug om ons te achtervolgen. De nieuwste variant van de spyware vraagt ​​de slachtoffers om te dubbelkli...

Lees verder