Sicherheitsforscher von der israelischen Firma CyberArk entdeckt eine Schwachstelle in dem Berechtigungssystem Microsoft, die es ermöglicht Hacking-Konten.
Tseine Verwundbarkeit wird in der Microsoft Azure Cloud-Service befindet. Das Problem betrifft bestimmte Anwendungen, die die Verwendung Microsoft OAuth 2.0 Beauftragungsprotokoll, und dessen Betrieb ermöglicht die Erstellung von Token für die Eingabe des Systems.Auf diese Weise, Angreifer können die Kontrolle über Opfer nehmen’ Konten und handelt in ihrem Namen.
„Die OAuth-Anwendungen vertrauen Domänen und Sub-Domains werden von Microsoft nicht registriert, so kann sie von jedermann registriert werden (einschließlich eines Angreifers). Diese Anwendungen sind standardmäßig zugelassen und dürfen fragen Die Kombination dieser beiden Faktoren macht es möglich, eine Aktion mit den Benutzerberechtigungen zu produzieren „access_token.“ - auch den Zugang zu Ressourcen Zu, AD Ressourcen und vieles mehr.“, - Schreib CyberArk Experten.
Was ist OAuth?
OAuth ist ein Authentifizierungsprotokoll, die typischerweise von den Endbenutzern verwendet wird, Websites oder Anwendungen den Zugriff auf ihre Informationen von anderen Websites zur Verfügung zu stellen, ohne die Geheimnisse oder Passwörter von Webseiten oder Anwendungen bereitstellt. Es wird allgemein von vielen Unternehmen verwendet, um Benutzer mit der Fähigkeit, Informationen und Daten über ihre Konten mit Anwendungen von Drittanbietern oder Websites auszutauschen.
„Das Protokoll selbst ist gut gebaut und gesichert, aber eine falsche Implementierung oder unangemessene Nutzung und Konfiguration kann eine kolossale Wirkung hat. Während des Genehmigungsprozesses, die Drittfirma oder Anwendung wird mit bestimmten Berechtigungen ein Token Aktionen im Namen des Benutzers zu übernehmen, an die die Token gehören“, - Bericht CyberArk Forscher.
Experten haben mehr Azure-Anwendungen veröffentlicht von Microsoft entdeckt, die auf diese Art von Angriff anfällig sind. Wenn ein Angreifer die Kontrolle über Domains und URLs, die von Microsoft vertraut sind, diese Anwendungen werden ihm erlauben, das Opfer in automatischer Generierung von Zugriffstoken mit Benutzerberechtigungen zu betrügen.
Es ist genug für die kriminelle einfache Methoden des Social Engineering zu verwenden, um das Opfer zu zwingen, auf den Link zu klicken oder auf eine bösartige Website gehen. In manchen Fällen, Ein Angriff kann ohne Benutzereingriff durchgeführt werden,. Eine böswillige Website, die versteckt die eingebettete Seite automatisch eine Anfrage auslösen kann ein Token von einem Benutzerkonto zu stehlen.
lesen Sie auch: Der Experte erstellt eine PoC-Exploit, umgeht Patchguard Schutz
Solche Anwendungen haben einen Vorteil gegenüber anderen, da sie automatisch in einem Microsoft-Konto geprüft und somit Token nicht die Zustimmung der Nutzer erfordern erstellen. Programme können nicht entfernt werden aus den genehmigten Anwendungen Portal, und einige können nicht angezeigt werden.
Um Risiken zu minimieren und verhindern, dass diese Schwachstellen, Sie können Folgendes tun:
- Stellen Sie sicher, dass alle die vertrauenswürdigen Umleitung URIs in der Anwendung konfiguriert sind unter Ihrem Eigentum.
- Entfernen Sie unnötige Umleitung URIs.
- Achten Sie darauf, die Berechtigungen, dass die OAuth-Anwendung für fragt die am wenigsten privilegierte sind es braucht.
- Deaktivieren Sie nicht verwendete Anwendungen.
jedoch, CyberArk Experten berichteten über eine Schwachstelle in Microsoft am Ende Oktober, und das Unternehmen regelte es drei Wochen später.
