Nebezpečnú zraniteľnosť objavila spoločnosť SecureWorks začiatkom tohto roka.
- Útočník by jednoducho uniesol opustenú adresu URL a použil by ju na získanie zvýšených privilégií.
- Zraniteľnosť objavila spoločnosť SecureWorks, ktorá sa zaoberá kybernetickou bezpečnosťou.
- Microsoft to hneď oslovil, hovorí to však o jeho úrovni kybernetickej bezpečnosti.
Začiatkom tohto roka bolo ID Microsoft Entra (v tom čase známe ako Azure Active Directory) mohli byť ľahko napadnutí a napadnutí hackermi pomocou opustených adries URL na odpoveď. Tím výskumníkov zo SecureWorks objavil túto zraniteľnosť a upozornil Microsoft.
Technologický gigant so sídlom v Redmonde túto chybu rýchlo vyriešil a do 24 hodín od prvého oznámenia odstránil opustenú adresu URL odpovede v ID Microsoft Entra.
Teraz, takmer 6 mesiacov po tomto objave, tím za tým, odhalené v blogovom príspevku, proces, ktorý stojí za infikovaním opustených adries URL s odpoveďou a ich použitím na zapálenie Microsoft Entra ID, čím sa v podstate ohrozí.
Pomocou opustenej adresy URL by útočník mohol ľahko získať zvýšené privilégiá organizácie pomocou Microsoft Entra ID. Netreba dodávať, že zraniteľnosť predstavovala veľké riziko a Microsoft o tom zrejme nevedel.
Útočník by mohol využiť túto opustenú adresu URL na presmerovanie autorizačných kódov na seba, pričom by nesprávne získané autorizačné kódy vymenil za prístupové tokeny. Aktér hrozby by potom mohol zavolať Power Platform API prostredníctvom služby strednej vrstvy a získať zvýšené privilégiá.
SecureWorks
Takto by útočník využil zraniteľnosť Microsoft Entra ID
- Opustenú adresu URL odpovede by útočník objavil a uniesol by ju so škodlivým odkazom.
- K tomuto škodlivému odkazu by potom mala prístup obeť. Entra ID by potom presmeroval systém obete na adresu URL odpovede, ktorá by tiež obsahovala autorizačný kód v adrese URL.
- Škodlivý server vymení autorizačný kód za prístupový token.
- Škodlivý server volá službu strednej vrstvy pomocou prístupového tokenu a zamýšľaného rozhrania API a Microsoft Entra ID by skončilo ohrozením.
Tím za výskumom však tiež zistil, že útočník mohol jednoducho vymeniť autorizačné kódy za prístupové tokeny bez prenosu tokenov do služby strednej vrstvy.
Vzhľadom na to, aké ľahké by bolo pre útočníka efektívne kompromitovať servery Entra ID, Microsoft rýchlo vyriešil tento problém a nasledujúci deň vydal jeho aktualizáciu.
Je však celkom zaujímavé vidieť, ako technický gigant so sídlom v Redmonde nikdy nevidel túto zraniteľnosť. Microsoft však v minulosti trochu zanedbával zraniteľné miesta.
Začiatkom tohto leta spoločnosť Tenable tvrdo kritizovala, ďalšej prestížnej firme zaoberajúcej sa kybernetickou bezpečnosťou, za neriešenie ďalšej nebezpečnej zraniteľnosti, ktorá by umožnila malígnym subjektom prístup k bankovým informáciám používateľov Microsoftu.
Je jasné, že Microsoft potrebuje nejakým spôsobom rozšíriť svoje oddelenie kybernetickej bezpečnosti. Čo si o tom myslíš?
