이스라엘 회사 CyberArk에서 보안 연구원 발견 마이크로 소프트 인증 시스템의 취약점, 해킹 계정을 허용하는.
티자신의 취약점은 마이크로 소프트 애저 클라우드 서비스에 있습니다. 문제는를 사용하는 특정 응용 프로그램에 영향을 미칩니다 마이크로 소프트의 OAuth 2.0 인증 프로토콜, 그 동작은 시스템을 입력하기위한 토큰을 생성 허용.이런 식으로, 공격자는 피해자를 제어 할 수 있습니다’ 그 대신 계정 및 역할.
는 "OAuth를 응용 프로그램 도메인 및 하위 도메인을 신뢰 마이크로 소프트에 의해 등록되지 않은, 그들은 누구나 등록 할 수 있도록 (공격자 포함). 이 응용 프로그램은 기본적으로 승인 및 요청하도록 허용이 두 가지 요소의 조합은 사용자의 권한이있는 작업을 생성하는 것을 가능하게한다 "access_token은."- 푸른 자원에 대한 확보 액세스를 포함하여, AD 자원과 더. ", - 쓰기 CyberArk 전문가.
OAuth는 무엇인가?
OAuth는 일반적으로 웹 사이트 나 응용 프로그램의 비밀 또는 암호를 제공하지 않고 웹 사이트 또는 응용 프로그램을 다른 웹 사이트에서 자신의 정보에 대한 액세스를 제공하기 위해 최종 사용자에 의해 사용되는 인증 프로토콜입니다. 널리 타사 응용 프로그램 또는 웹 사이트에 자신의 계정에 대한 정보와 데이터를 교환 할 수있는 기능을 사용자에게 제공하기 위해 많은 기업에서 사용하는.
"프로토콜 자체가 잘 구축하고 확보, 그러나 잘못 구현하거나 부적절한 사용 및 구성은 어마 어마한 영향을 줄 수 있습니다. 인증 과정에서, 타사 회사 또는 응용 프로그램은 "토큰이 속한 누구에게 특정 권한이있는 토큰이 사용자를 대신하여 조치를 취할 수 도착, - 보고서 CyberArk 연구원.
전문가들은 이러한 유형의 공격에 취약한 마이크로 소프트가 발표 한 여러 푸른 응용 프로그램을 발견했다. 만약 마이크로 소프트가 신뢰할 수있는 도메인과 URL을 공격자가 제어, 이러한 응용 프로그램은 그에게 자동으로 사용자 권한 액세스 토큰을 생성로 피해자를 속여 수.
범죄가 링크를 클릭하거나 악의적 인 웹 사이트로 이동하는 피해자를 강제로 사회 공학의 간단한 방법을 사용하는 것이 충분하다. 일부 경우에, 공격은 사용자 상호 작용없이 수행 할 수 있습니다. 포함 된 페이지가 자동으로 요청을 트리거 할 수 숨 깁니다 악의적 인 웹 사이트는 사용자 계정에서 토큰을 훔치는.
또한 읽기: 전문가는 그 패치 가드 보호를 우회 이용 의한 PoC를 생성
이러한 응용 프로그램은 다른 사람에 비해 이점을 가지고, 그들은 자동으로 토큰을 생성하는 사용자의 동의를 필요로하지 않는, 따라서 모든 Microsoft 계정에서 승인 될 때. 승인 된 응용 프로그램은 포털에서 프로그램을 제거 할 수 없습니다, 일부는 전혀 표시되지 않을 수 있습니다.
위험을 완화하고 이러한 취약점을 방지하기 위해, 다음을 수행 할 수 있습니다:
- 확인 응용 프로그램에 구성된 모든 신뢰할 수있는 리디렉션 URI를 소유권 아래에 있는지 확인.
- 불필요한 리디렉션 URI를 제거.
- 가 필요한 최소한의 권한을 하나의 OAuth를 응용 프로그램이 요구 있는지 권한을 확인.
- 안 비 사용하는 응용 프로그램.
하나, CyberArk 전문가들은 10 월 말에서 마이크로 소프트의 취약점에 대한보고, 회사는 삼주 나중에 고정.
