Sikkerhed forskere fra det israelske selskab CyberArk opdaget en sårbarhed i tilladelsen systemet Microsoft, som gør det muligt hacking konti.
Thans sårbarhed ligger i Azure cloud-tjeneste. Problemet påvirker visse programmer, der bruger den Microsoft OAuth 2.0 protokol tilladelse, og dets funktion tillader skabe tokens for ind i systemet.På denne måde, angribere kan tage kontrol over ofre’ konti og handle på deres vegne.
”De OAuth applikationer tillid domæner og sub-domæner er ikke registreret af Microsoft, så de kan registreres af alle (herunder en angriber). Disse apps er godkendt som standard, og får lov til at bede om Kombinationen af disse to faktorer gør det muligt at producere en handling med brugerens tilladelser ”access_token.” - herunder at få adgang til ressourcer Azure, AD ressourcer og mere.”, - skrive CyberArk eksperter.
Hvad er OAuth?
OAuth er en godkendelsesprotokol, der typisk bruges af slutbrugere til at levere hjemmesider eller applikationer adgang til deres oplysninger fra andre hjemmesider uden at give hemmelighederne eller adgangskoder af hjemmesider eller programmer. Det er almindeligt anvendt af mange virksomheder til at give brugerne mulighed for at udveksle oplysninger og data om deres konti med tredjeparts applikationer eller websites.
”Protokollen selv er godt bygget og sikret, men en forkert implementering eller uhensigtsmæssig brug og konfiguration kan have en kolossal indvirkning. Under godkendelsesprocessen, tredjeparts firma eller anvendelsen får en token med specifikke tilladelser til at træffe foranstaltninger på vegne af den bruger, som token tilhører”, - rapport CyberArk forskere.
Eksperter har opdaget flere Azure applikationer frigivet af Microsoft, der er sårbare over for denne type angreb. Hvis en hacker får kontrol over domæner og webadresser, der er tillid til Microsoft, disse programmer vil tillade ham at narre offeret til automatisk at generere access tokens med brugertilladelser.
Det er nok for den kriminelle at bruge enkle metoder til social engineering til at tvinge offeret til at klikke på linket, eller gå til et ondsindet websted. I nogle tilfælde, et angreb kan udføres uden brugerinteraktion. En ondsindet websted, der skjuler den indlejrede side automatisk kan udløse en anmodning om at stjæle en token fra en brugerkonto.
Læs også: Eksperten skabte en PoC udnytte, der omgår PatchGuard beskyttelse
Sådanne anvendelser har en fordel frem for andre, da de automatisk er godkendt i en Microsoft-konto og derfor ikke kræver brugerens samtykke til at skabe tokens. Programmer kan ikke fjernes fra de godkendte ansøgninger portalen, og nogle kan ikke vises på alle.
For at mindske risikoen og forebygge disse sårbarheder, du kan gøre følgende:
- Sørg for, at alle de betroede omdirigere URI'er konfigureret i ansøgningen er under dit ejerskab.
- Fjern unødvendige omdirigering URI'er.
- Sørg de tilladelser, OAuth ansøgningen beder om er de mindst privilegerede ene den har brug for.
- Deaktivere ikke anvendte applikationer.
imidlertid, CyberArk eksperter rapporteret om en sårbarhed i Microsoft i slutningen af oktober, og selskabet fast det tre uger senere.
