Vulnerabilitatea periculoasă a fost descoperită de SecureWorks, la începutul acestui an.
- Un atacator ar deturna pur și simplu o adresă URL abandonată și ar folosi-o pentru a obține privilegii ridicate.
- Vulnerabilitatea a fost descoperită de SecureWorks, o firmă de securitate cibernetică.
- Microsoft a abordat-o imediat, totuși, spune multe despre nivelul său de securitate cibernetică.
La începutul acestui an, Microsoft Entra ID (care până atunci era cunoscut ca Azure Active Directory) ar fi putut fi piratat și compromis cu ușurință de către hackeri care foloseau adrese URL de răspuns abandonate. O echipă de cercetători de la SecureWorks a descoperit această vulnerabilitate și a alertat Microsoft.
Gigantul tehnologic din Redmond a abordat rapid vulnerabilitatea și, în 24 de ore de la anunțul inițial, a eliminat adresa URL de răspuns abandonată din Microsoft Entra ID.
Acum, la aproape 6 luni de la această descoperire, echipa din spatele ei, descoperit într-o postare pe blog, procesul care se află în spatele infectării adreselor URL de răspuns abandonate și utilizării acestora pentru a da foc Microsoft Entra ID, compromițându-l în esență.
Folosind adresa URL abandonată, un atacator ar putea obține cu ușurință privilegii ridicate ale organizației folosind Microsoft Entra ID. Inutil să spun că vulnerabilitatea a reprezentat un mare risc, iar Microsoft aparent nu era conștient de asta.
Un atacator ar putea folosi această adresă URL abandonată pentru a redirecționa codurile de autorizare către el însuși, schimbând codurile de autorizare obținute greșit cu jetoane de acces. Actorul amenințării ar putea apela apoi API-ul Power Platform printr-un serviciu de nivel mediu și să obțină privilegii ridicate.
SecureWorks
Acesta este modul în care un atacator ar profita de vulnerabilitatea Microsoft Entra ID
- Adresa URL de răspuns abandonată va fi descoperită de atacator și deturnată cu un link rău intenționat.
- Acest link rău intenționat va fi apoi accesat de o victimă. Entra ID ar redirecționa apoi sistemul victimei către adresa URL de răspuns, care ar include și codul de autorizare în URL.
- Serverul rău intenționat schimbă codul de autorizare pentru jetonul de acces.
- Serverul rău intenționat apelează serviciul de nivel mediu folosind jetonul de acces și API-ul dorit, iar ID-ul Microsoft Entra ar ajunge să fie compromis.
Cu toate acestea, echipa din spatele cercetării a descoperit, de asemenea, că un atacator ar putea pur și simplu să schimbe codurile de autorizare pentru jetoane de acces fără a transmite jetoane către serviciul de nivel mediu.
Având în vedere cât de ușor ar fi fost pentru un atacator să compromită efectiv serverele Entra ID, Microsoft a rezolvat rapid această problemă și a lansat o actualizare a acesteia în ziua următoare.
Dar este destul de interesant să vedem cum gigantul tehnologic din Redmond nu a văzut niciodată această vulnerabilitate de la început. Cu toate acestea, Microsoft are o istorie de neglijare oarecum a vulnerabilităților.
La începutul acestei veri, compania a fost puternic criticată de Tenable, o altă firmă prestigioasă de securitate cibernetică, pentru că nu a reușit să abordeze o altă vulnerabilitate periculoasă care ar permite entităților maligne să acceseze informațiile bancare ale utilizatorilor Microsoft.
Este clar că Microsoft trebuie să-și extindă cumva departamentul de securitate cibernetică. Ce crezi despre asta?
