Os pesquisadores de segurança da CyberArk empresa israelense descoberto uma vulnerabilidade no sistema de autorização Microsoft, que permite que contas de hackers.
Tsua vulnerabilidade está localizado no serviço Microsoft Azure nuvem. O problema afeta certas aplicações que utilizam o Microsoft OAuth 2.0 protocolo de autorização, e o seu funcionamento permite a criação de fichas para entrar no sistema.Nesse caminho, atacantes podem assumir o controle de vítimas’ contas e actuar em seu nome.
“As aplicações OAuth confiar domínios e sub-domínios não são registrados pela Microsoft, para que eles possam ser registrado por qualquer pessoa (incluindo um invasor). Esses aplicativos são aprovados por padrão e estão autorizados a pedir a combinação destes dois fatores faz com que seja possível produzir uma ação com as permissões do usuário “access_token.” - incluindo acesso a recursos Azure, recursos AD e muito mais.”, - especialistas gravação CyberArk.
O que é OAuth?
OAuth é um protocolo de autenticação que é normalmente usado pelos usuários finais para fornecer sites ou aplicações de acesso às suas informações de outros sites sem fornecer os segredos ou senhas de sites ou aplicativos. É amplamente utilizado por muitas empresas para fornecer aos usuários a capacidade de trocar informações e dados sobre as suas contas com aplicativos de terceiros ou sites.
“O protocolo em si é bem construído e protegidas, mas uma implementação errada ou uso e configuração inadequada pode ter um impacto colossal. Durante o processo de autorização, a companhia de terceiros ou aplicativo recebe um token com permissões específicas para tomar ações em nome do usuário a quem pertence o token”, - pesquisadores relatório CyberArk.
Especialistas descobriram várias aplicações Azure lançadas pela Microsoft que são vulneráveis a este tipo de ataque. Se um controle atacante ganha de domínios e URLs que são confiáveis por Microsoft, estas aplicações lhe permitirá enganar a vítima a geração automática de tokens de acesso com permissões de usuário.
É o suficiente para o criminoso de usar métodos simples de engenharia social para forçar a vítima a clicar no link ou ir a um site malicioso. Em alguns casos, um ataque pode ser realizado sem interacção do utilizador. Um web site malicioso que esconde a página incluída pode desencadear automaticamente uma solicitação para roubar um símbolo a partir de uma conta de usuário.
Leia também: O especialista criou uma PoC exploit que ignora a proteção PatchGuard
Tais aplicações têm uma vantagem sobre os outros, como eles são aprovados automaticamente em qualquer conta Microsoft e, portanto, não requerem o consentimento do usuário para criar os tokens. Os programas não podem ser removidos das candidaturas aprovadas portal, e alguns não pode ser exibida em tudo.
Para mitigar o risco e prevenir essas vulnerabilidades, você pode fazer o seguinte:
- Certifique-se de que todos os URIs de redirecionamento confiáveis configurados na aplicação estão sob a sua propriedade.
- Remover URIs de redirecionamento desnecessários.
- Certifique-se que as permissões que o aplicativo OAuth pede são o menos privilegiado que precisa.
- aplicações não-utilizado desativar.
Contudo, especialistas CyberArk relatou sobre uma vulnerabilidade no Microsoft no final de outubro, ea empresa fixa-lo três semanas mais tarde.