Siber güvenlik araştırmacıları, terk edilmiş bir yanıt URL’sinden yararlanarak bir Microsoft Entra ID (eski adıyla Azure Active Directory) uygulamasıyla ilişkili bir ayrıcalık yükseltme vakası keşfettiler.
Secureworks Karşı Tehdit Birimi (CTU) geçen hafta yayınlanan bir teknik raporda, “Bir saldırgan, yetkilendirme kodlarını kendilerine yeniden yönlendirmek için bu terk edilmiş URL’den yararlanabilir ve haksız elde edilen yetkilendirme kodlarını erişim belirteçleri ile değiştirebilir.” dedi.
“Tehdit aktörü daha sonra orta düzey bir hizmet aracılığıyla Power Platform API’yi arayabilir ve yükseltilmiş ayrıcalıklar elde edebilir.”
5 Nisan 2023’teki sorumlu açıklamanın ardından sorun, Microsoft tarafından bir gün sonra yayınlanan bir güncelleme aracılığıyla giderildi. Secureworks ayrıca diğer kuruluşların terkedilmiş yanıt URL’lerini taramak için kullanabileceği açık kaynaklı bir aracı da kullanıma sunmuştur.
Yönlendirme URI’si olarak da adlandırılan Yanıt URL’si, uygulama başarıyla yetkilendirildikten ve bir yetkilendirme kodu veya erişim belirteci verildikten sonra yetkilendirme sunucusunun kullanıcıyı gönderdiği konumu ifade eder.
Microsoft, belgelerinde “Yetkilendirme sunucusu kodu veya belirteci yönlendirme URI’sine gönderir, bu nedenle uygulama kayıt sürecinin bir parçası olarak doğru konumu kaydetmeniz önemlidir” diyor.
Secureworks CTU, Azure Traffic Manager profiliyle ilişkili, orta düzey bir hizmet aracılığıyla Power Platform API’sinin çağrılmasına ve ortam yapılandırmalarına müdahale edilmesini mümkün kılan, terk edilmiş bir Dynamics Veri Entegrasyonu uygulaması yanıt URL’si tespit ettiğini söyledi.
Varsayımsal bir saldırı senaryosunda bu, mevcut bir hizmet sorumlusu için sistem yöneticisi rolünü almak ve bir ortamı silmek için istek göndermek, ayrıca aşama takibini gerçekleştirmek üzere hedef hakkında bilgi toplamak amacıyla Azure AD Graph API’sini kötüye kullanmak için kullanılmış olabilir. -faaliyetler hakkında.
Ancak bu, kurbanın kötü amaçlı bir bağlantıya tıklaması ve bunun sonucunda Microsoft Entra ID tarafından oturum açıldıktan sonra verilen yetkilendirme kodunun, tehdit aktörü tarafından ele geçirilen bir yönlendirme URL’sine iletilmesi olasılığını göz önünde bulundurur.
Açıklama, Kroll’un açık yönlendirmeler kullanan DocuSign temalı kimlik avı kampanyalarında bir artış olduğunu ortaya çıkarmasıyla geldi; bu kampanyalar, düşmanların, tıklandığında potansiyel kurbanları kötü amaçlı bir siteye yönlendiren özel hazırlanmış URL’ler yaymasına olanak tanıyor.
Kroll’dan George Glass, “Güvenilir bir web sitesinden yararlanan aldatıcı bir URL oluşturarak, kötü niyetli aktörler, kullanıcıları bağlantıya tıklama konusunda daha kolay manipüle edebilir ve aynı zamanda bağlantıları kötü amaçlı içerik açısından tarayan ağ teknolojisini aldatabilir/atlayabilir” dedi.
“Bu, kurbanın oturum açma kimlik bilgileri, kredi kartı ayrıntıları veya kişisel veriler gibi hassas bilgileri çalmak üzere tasarlanmış kötü amaçlı bir siteye yönlendirilmesine neden oluyor.”