50.000’den fazla Azure Active Directory kullanıcısını etkileyen kritik bir güvenlik açığı keşfedildi ve hassas çalışan verilerini bir JavaScript dosyasına yerleştirilmiş teminatsız bir API uç noktası aracılığıyla ortaya çıkardı.
Siber güvenlik firması Cloudsek tarafından ortaya çıkarılan olay, tek bir yanlış yapılandırmanın yönetici düzeyinde bilgi ve organizasyonel yapılar da dahil olmak üzere Microsoft grafik verilerine nasıl yetkisiz erişim sağlayabileceğini ortaya koyuyor.
Güvenlik açığı, büyük bir havacılık şirketinin halka açık bir alt alanında bir JavaScript demetinde bulunan sert kodlanmış bir API uç noktasından kaynaklandı.
.png
)
Herhangi bir kimlik doğrulama gereksinimleri olmadan erişilebilir olan bu uç nokta, otomatik olarak aşırı izinli Microsoft Graph API jetonları, özellikle user.read.all ve AccessReview.read.all özellikleri.
.webp)
Bu yükseltilmiş ayrıcalıklar, kapsamlı kullanıcı profillerine ve kritik kimlik yönetişim konfigürasyonlarına erişme yetenekleri nedeniyle genellikle katı idari gözetim gerektirir.
CloudSek analistleri, maruz kalan uç noktanın yeni eklenen kullanıcılar için veri döndürmeye devam ettiğini ve bu da ilk keşfin ötesine uzanan devam eden bir güvenlik riskini gösterdiğini belirtti.
Araştırmacılar, güvenlik açığını, kuruluşun dijital altyapısının rutin saldırı yüzeyi izlemesi sırasında teminatsız uç noktayı tespit eden Bevigil platformlarının API tarayıcısını kullanarak tanımladılar.
Maruz kalan bilgilerin kapsamı, isimler, iş başlıkları, iletişim bilgileri, raporlama hiyerarşileri ve erişim inceleme yapılandırmaları dahil olmak üzere ayrıntılı çalışan kayıtlarını kapsar.
.webp)
Geri ihlal edilen veriler arasında, “İcra Kurulu Başkanı”, “Kurucu Ortak ve Yönetmen” ve “Müdür Siber Güvenlik” gibi başlıkları olan bireyler de dahil olmak üzere üst düzey yöneticilerin kayıtları vardı ve bu da onları sofistike sosyal mühendislik saldırıları ve kurumsal casusluk için birincil hedefler haline getirdi.
Olay, hassas arka uç hizmetlerinin doğrudan müşteri tarafı kodu aracılığıyla maruz kaldığı ve güvenli uygulama mimarisinin temel ilkelerini ihlal ettiği temel bir güvenlik gözetimini vurgulamaktadır.
Yanlış yapılandırma, modern web uygulamalarının uygun güvenlik kontrolleri uygulanmadığında yanlışlıkla önemli bir saldırı vektörleri oluşturabileceğini gösterir.
Güvenlik Açığı Analizi
Temel güvenlik açığı, uygulamanın ön uç mimarisindeki uygunsuz belirteç yönetiminden kaynaklandı.
JavaScript dosyası, Azure AD’nin yerleşik güvenlik kontrollerini etkili bir şekilde atlayarak, geniş izinlere sahip Microsoft Graph Access jetonlarını otomatik olarak oluşturan gömülü mantık içeriyordu. Açıkta kalan uç nokta aşağıdaki izin kapsamlarını kullandı:-
{
"scope": "User.Read.All AccessReview.Read.All",
"grant_type": "client_credentials"
}Bu yapılandırma, Microsoft Graph API’lerini sorgulamak için uç noktaya erişimi olan herhangi bir kişinin kapsamlı organizasyonel verileri almasına izin verdi.
Güvenlik açığı, kimlik doğrulama mekanizmalarının müşteri tarafında maruz kalmasının kurumsal güvenlik politikalarını nasıl atlatabileceğini ve korunan bulut hizmetlerine yetkisiz yollar oluşturabileceğini örneklendirir.
CloudSek’in analizi, jeton üretiminin uygun doğrulama veya hız sınırlaması olmadan meydana geldiğini ve potansiyel saldırganların büyük miktarlarda hassas kurumsal verileri sistematik olarak çıkarmasını sağladığını ortaya koydu.
9 yılını kutlayın. Run! Tam gücünün kilidini açmak TI Arama Planı (100/300/600/1.000+ arama istekleri) ve istek kotanız iki katına çıkacaktır.