Опасная уязвимость была обнаружена SecureWorks в начале этого года.
- Злоумышленник просто перехватит заброшенный URL-адрес и использует его для получения повышенных привилегий.
- Уязвимость была обнаружена компанией SecureWorks, занимающейся кибербезопасностью.
- Microsoft сразу же обратилась к этому вопросу, однако она красноречиво говорит об уровне своей кибербезопасности.
Ранее в этом году Microsoft Entra ID (который к тому времени был известен как Azure Active Directory) мог быть легко взломан и скомпрометирован хакерами, использующими заброшенные URL-адреса ответов. Группа исследователей из SecureWorks обнаружила эту уязвимость и предупредила Microsoft.
Технический гигант из Редмонда быстро устранил уязвимость и в течение 24 часов после первого объявления удалил заброшенный URL-адрес ответа в Microsoft Entra ID.
Теперь, спустя почти 6 месяцев после этого открытия, команда, стоящая за ним, раскрыто в сообщении в блоге, процесс, лежащий в основе заражения URL-адресов оставленных ответов и использования их для поджога Microsoft Entra ID, что, по сути, ставит его под угрозу.
Используя заброшенный URL-адрес, злоумышленник может легко получить повышенные привилегии организации с помощью Microsoft Entra ID. Излишне говорить, что уязвимость представляла собой большой риск, и Microsoft, по-видимому, не знала об этом.
Злоумышленник может использовать этот заброшенный URL-адрес для перенаправления кодов авторизации себе, обменивая полученные незаконным путем коды авторизации на токены доступа. Затем злоумышленник может вызвать API Power Platform через службу среднего уровня и получить повышенные привилегии.
SecureWorks
Вот как злоумышленник может воспользоваться уязвимостью Microsoft Entra ID
- Оставленный URL-адрес ответа будет обнаружен злоумышленником и захвачен вредоносной ссылкой.
- Жертва затем получит доступ к этой вредоносной ссылке. Затем Entra ID перенаправит систему жертвы на URL-адрес ответа, который также будет включать в себя код авторизации.
- Вредоносный сервер обменивает код авторизации на токен доступа.
- Вредоносный сервер вызывает службу среднего уровня, используя токен доступа и предполагаемый API, в результате чего Microsoft Entra ID будет скомпрометирован.
Однако команда, проводившая исследование, также обнаружила, что злоумышленник может просто обменять коды авторизации на токены доступа, не передавая токены службе среднего уровня.
Учитывая, насколько легко злоумышленнику было бы эффективно скомпрометировать серверы Entra ID, Microsoft быстро решила эту проблему и на следующий день выпустила для нее обновление.
Но довольно интересно наблюдать, как технологический гигант из Редмонда с самого начала не заметил этой уязвимости. Тем не менее, у Microsoft есть история пренебрежения уязвимостями.
Ранее этим летом, компания подверглась резкой критике со стороны Tenable, еще одну престижную фирму по кибербезопасности, за неспособность устранить еще одну опасную уязвимость, которая позволила бы злоумышленникам получить доступ к банковской информации пользователей Microsoft.
Понятно, что Microsoft нужно как-то расширять свой отдел кибербезопасности. Что вы думаете об этом?
