Verlaten URL's kunnen Microsoft Entra ID in brand steken

De gevaarlijke kwetsbaarheid werd eerder dit jaar ontdekt door SecureWorks.

  • Een aanvaller zou eenvoudigweg een verlaten URL kapen en deze gebruiken om verhoogde rechten te verkrijgen.
  • De kwetsbaarheid werd ontdekt door SecureWorks, een cybersecuritybedrijf.
  • Microsoft heeft het meteen aangepakt, maar het spreekt boekdelen over het niveau van cyberbeveiliging.
microsoft entra id-kwetsbaarheid

Eerder dit jaar lanceerde Microsoft Entra ID (dat toen bekend stond als Azure Active Directory) had gemakkelijk kunnen worden gehackt en gecompromitteerd door hackers die verlaten antwoord-URL's gebruikten. Een team van onderzoekers van SecureWorks ontdekte dit beveiligingslek en waarschuwde Microsoft.

De in Redmond gevestigde technologiegigant heeft de kwetsbaarheid snel aangepakt en binnen 24 uur na de eerste aankondiging verwijderde het de verlaten antwoord-URL in Microsoft Entra ID.

Nu, bijna zes maanden na deze ontdekking, heeft het team erachter, ontdekt in een blogpost, het proces dat schuilgaat achter het infecteren van verlaten antwoord-URL's en het gebruik ervan om Microsoft Entra ID in brand te steken, waardoor deze feitelijk in gevaar wordt gebracht.

Met behulp van de verlaten URL kan een aanvaller gemakkelijk verhoogde bevoegdheden van de organisatie verkrijgen met behulp van Microsoft Entra ID. Het spreekt voor zich dat de kwetsbaarheid een groot risico met zich meebracht, en Microsoft was zich daar kennelijk niet van bewust.

Een aanvaller kan deze verlaten URL gebruiken om autorisatiecodes naar zichzelf om te leiden, waarbij de onrechtmatig verkregen autorisatiecodes worden uitgewisseld voor toegangstokens. De bedreigingsacteur kan vervolgens de Power Platform API aanroepen via een service uit het middensegment en verhoogde rechten verkrijgen.

SecureWorks

Op deze manier zou een aanvaller misbruik kunnen maken van de Microsoft Entra ID-kwetsbaarheid

  1. De verlaten antwoord-URL zou door de aanvaller worden ontdekt en gekaapt met een kwaadaardige link.
  2. Deze kwaadaardige link zou vervolgens door een slachtoffer kunnen worden geopend. Entra ID zou vervolgens het systeem van het slachtoffer omleiden naar de antwoord-URL, die ook de autorisatiecode in de URL zou opnemen.microsoft entra id-kwetsbaarheid
  3. De kwaadwillende server wisselt de autorisatiecode voor het toegangstoken uit.
  4. De kwaadwillende server roept de middle-tier-service aan met behulp van het toegangstoken en de beoogde API, en de Microsoft Entra ID zou uiteindelijk in gevaar komen.

Het team achter het onderzoek ontdekte echter ook dat een aanvaller eenvoudigweg de autorisatiecodes voor toegangstokens kon uitwisselen zonder tokens door te geven aan de middendienst.

Gezien hoe gemakkelijk het voor een aanvaller zou zijn geweest om Entra ID-servers effectief binnen te dringen, heeft Microsoft dit probleem snel aangepakt en de volgende dag een update uitgebracht.

Maar het is best interessant om te zien hoe de in Redmond gevestigde technologiegigant deze kwetsbaarheid om te beginnen nooit heeft gezien. Microsoft heeft echter een geschiedenis van het enigszins verwaarlozen van kwetsbaarheden.

Eerder deze zomer, het bedrijf kreeg zware kritiek van Tenable, een ander prestigieus cyberbeveiligingsbedrijf, omdat het er niet in is geslaagd een andere gevaarlijke kwetsbaarheid aan te pakken waardoor kwaadaardige entiteiten toegang zouden krijgen tot de bankgegevens van Microsoft-gebruikers.

Het is duidelijk dat Microsoft zijn cybersecurity-afdeling op de een of andere manier moet uitbreiden. Wat denk jij ervan?

5 beste antivirusprogramma's voor Oculus Quest 2 om zonder risico van VR te genieten

5 beste antivirusprogramma's voor Oculus Quest 2 om zonder risico van VR te genietenOculusVirtuele RealiteitCyberbeveiliging

ESET Antivirus wordt geleverd met alle beveiligingshulpmiddelen die u ooit nodig kunt hebben om uw gegevens en privacy te beschermen, waaronder:Anti-diefstal ondersteuningWebcambeschermingIntuïtiev...

Lees verder
Opera VPN vs. NordVPN: Wat is de betere keuze voor 2022?

Opera VPN vs. NordVPN: Wat is de betere keuze voor 2022?NordvpnOperaVpnCyberbeveiliging

VPN's worden steeds populairder naarmate het internet evolueert en mensen hun online beveiliging naar een hoger niveau willen tillen.Opera VPN is gratis en al ingebouwd in alle Opera-browsers.NordV...

Lees verder
5+ beste browsers met al ingebouwde VPN en adblocker

5+ beste browsers met al ingebouwde VPN en adblockerAdblockVpnCyberbeveiliging

Opera heeft honderden miljoenen gebruikers en met een goede reden. Deze browser zit vol met functies voor snel en veilig browsen, inclusief een ingebouwde VPN en adblocker.Opera VPN is gemakkelijk ...

Lees verder