A perigosa vulnerabilidade foi descoberta pela SecureWorks no início deste ano.
- Um invasor simplesmente sequestraria uma URL abandonada e a usaria para obter privilégios elevados.
- A vulnerabilidade foi descoberta pela SecureWorks, uma empresa de segurança cibernética.
- A Microsoft abordou o assunto imediatamente, no entanto, fala muito sobre seu nível de segurança cibernética.
No início deste ano, o Microsoft Entra ID (que na época era conhecido como Diretório Ativo Azure) poderia ter sido facilmente hackeado e comprometido por hackers usando URLs de resposta abandonados. Uma equipe de pesquisadores da SecureWorks descobriu esta vulnerabilidade e alertou a Microsoft.
A gigante da tecnologia com sede em Redmond resolveu rapidamente a vulnerabilidade e, 24 horas após o anúncio inicial, removeu o URL de resposta abandonado no Microsoft Entra ID.
Agora, quase 6 meses após esta descoberta, a equipe por trás dela, descoberto em uma postagem de blog, o processo que está por trás da infecção de URLs de resposta abandonados e de seu uso para incendiar o Microsoft Entra ID, comprometendo-o essencialmente.
Usando a URL abandonada, um invasor pode facilmente obter privilégios elevados da organização usando o Microsoft Entra ID. Escusado será dizer que a vulnerabilidade representava um grande risco e a Microsoft aparentemente não tinha conhecimento disso.
Um invasor pode aproveitar esse URL abandonado para redirecionar códigos de autorização para si mesmo, trocando os códigos de autorização obtidos de forma ilícita por tokens de acesso. O agente da ameaça poderia então chamar a API do Power Platform por meio de um serviço de camada intermediária e obter privilégios elevados.
SecureWorks
É assim que um invasor aproveitaria a vulnerabilidade do Microsoft Entra ID
- O URL de resposta abandonado seria descoberto pelo invasor e sequestrado com um link malicioso.
- Esse link malicioso seria então acessado por uma vítima. O Entra ID redirecionaria então o sistema da vítima para o URL de resposta, que também incluiria o código de autorização no URL.
- O servidor malicioso troca o código de autorização pelo token de acesso.
- O servidor malicioso chama o serviço de camada intermediária usando o token de acesso e a API pretendida, e o Microsoft Entra ID acabaria sendo comprometido.
No entanto, a equipe por trás da pesquisa também descobriu que um invasor poderia simplesmente trocar os códigos de autorização por tokens de acesso sem retransmitir os tokens para o serviço de nível intermediário.
Dada a facilidade com que um invasor comprometeria efetivamente os servidores Entra ID, a Microsoft rapidamente resolveu esse problema e lançou uma atualização no dia seguinte.
Mas é bastante interessante ver como a gigante da tecnologia com sede em Redmond nunca viu esta vulnerabilidade. No entanto, a Microsoft tem um histórico de negligenciar vulnerabilidades.
No início deste verão, a empresa foi duramente criticada pela Tenable, outra prestigiada empresa de segurança cibernética, por não ter resolvido outra vulnerabilidade perigosa que permitiria que entidades malignas acessassem as informações bancárias dos usuários da Microsoft.
Está claro que a Microsoft precisa expandir de alguma forma seu departamento de segurança cibernética. O que você acha disso?
