Microsoft, tehdit aktörlerinin ayrıcalıkları yükseltmesine ve potansiyel olarak hedefin hesabını tamamen ele geçirmesine izin verebilecek bir Azure Active Directory (Azure AD) kimlik doğrulama kusurunu ele aldı.
Bu yanlış yapılandırma (adlandırılmış nOAuth Bunu keşfeden Descope güvenlik ekibi tarafından), yetkilendirme için erişim belirteçlerinden e-posta talebini kullanmak üzere yapılandırılmış Azure AD OAuth uygulamalarına yönelik hesap ve ayrıcalık yükseltme saldırılarında kötüye kullanılabilir.
Saldırganın Azure AD yönetici hesabındaki e-postayı kurbanın e-posta adresiyle değiştirmesi ve güvenlik açığı bulunan uygulama veya web sitesinde yetkilendirme için “Microsoft ile oturum aç” özelliğini kullanması yeterliydi.
Bu, hedeflenen kaynaklar, yetkilendirme sürecinde e-posta adreslerinin benzersiz tanımlayıcılar olarak kullanılmasına izin veriyorsa, hedefin hesabı üzerinde tam kontrol sahibi olmalarını sağlar.
Bu taktik, kurbanın bir Microsoft hesabı bile olmadığında da kullanılabilir ve Azure AD, e-posta değişikliklerinin doğrulanmasını gerektirmediği için uygulanabilir bir saldırı yöntemiydi.
Descope, “Uygulama, kullanıcı hesaplarını doğrulama olmaksızın birleştirirse, kurbanın bir Microsoft hesabı olmasa bile saldırgan artık kurbanın hesabı üzerinde tam denetime sahip olur” dedi.
“Başarılı oturum açtıktan sonra, saldırgan, ele geçirdikleri uygulamanın veya sitenin yapısına bağlı olarak açık bir alana sahip olur. Kalıcılık sağlayabilir, verileri sızdırabilir, yanal hareketin mümkün olup olmadığını keşfedebilir ve benzeri şeyler yapabilir.”
Bu tür saldırılara karşı savunmasız bulunan çok sayıda büyük kuruluş arasında Descope, aylık milyonlarca kullanıcısı olan bir tasarım uygulaması, halka açık bir müşteri deneyimi firması ve önde gelen bir çoklu bulut danışmanlık sağlayıcısına ait bir uygulama keşfetti.
Descope ayrıca, bu AAD kimlik doğrulama yanlış yapılandırmasından yararlanmanın nasıl hesabın tamamen ele geçirilmesine yol açabileceğini ve bununla ilgili bilgilerin önlenebileceğini ayrıntılarıyla anlatan bir video (aşağıda gömülü) paylaştı.
Microsoft, Descope tarafından 11 Nisan 2023’te gönderilen bir ilk raporun ardından bugün yayınlanan hafifletmelerle nOAuth yapılandırmasını düzeltti.
Redmond, “Microsoft, kullanıcıların doğrulanmamış bir etki alanı sahibiyle e-posta adresi kullandığı birkaç çok kiracılı uygulama belirledi” dedi.
“Bir bildirim almadıysanız, uygulamanız doğrulanmamış alan sahipleriyle ilgili e-posta taleplerini kullanmamıştır.
“Microsoft, ayrıcalık yükseltmeye karşı savunmasız olabilecek müşterileri ve uygulamaları korumak için, çoğu uygulama için doğrulanmamış etki alanı sahiplerinden gelen belirteç taleplerini atlamak için hafifletmeler kullandı.”
Şirket ayrıca geliştiricilere, uygulamalarının yetkilendirme iş mantığını kapsamlı bir şekilde değerlendirmelerini ve yetkisiz erişime karşı korunmak için bu yönergelere uymalarını şiddetle tavsiye etti.
Ek olarak, geliştiricilerin Microsoft kimlik platformunu kullanırken belirteç doğrulama için önerilen bu en iyi uygulamaları benimsemeleri teşvik edilir.