Des chercheurs en cybersécurité ont découvert un cas d’élévation de privilèges associé à une application Microsoft Entra ID (anciennement Azure Active Directory) en profitant d’une URL de réponse abandonnée.
« Un attaquant pourrait exploiter cette URL abandonnée pour rediriger les codes d’autorisation vers lui-même, en échangeant les codes d’autorisation mal obtenus contre des jetons d’accès », Secureworks Counter Threat Unit (CTU) dit dans un rapport technique publié la semaine dernière.
« L’acteur malveillant pourrait alors appeler l’API Power Platform via un service de niveau intermédiaire et obtenir des privilèges élevés. »
Suite à une divulgation responsable le 5 avril 2023, le problème a été résolu par Microsoft via une mise à jour publiée un jour plus tard. Secureworks a également mis à disposition un outil open source que d’autres organisations peuvent utiliser pour rechercher les URL de réponse abandonnées.
URL de réponseégalement appelé URI de redirection, fait référence à l’emplacement où le serveur d’autorisation envoie l’utilisateur une fois que l’application a été autorisée avec succès et a obtenu un code d’autorisation ou un jeton d’accès.
« Le serveur d’autorisation envoie le code ou le jeton à l’URI de redirection, il est donc important que vous enregistriez l’emplacement correct dans le cadre du processus d’enregistrement de l’application », note Microsoft dans sa documentation.
Secureworks CTU a déclaré avoir identifié une URL de réponse abandonnée de l’application Dynamics Data Integration associée au profil Azure Traffic Manager qui permettait d’invoquer l’API Power Platform via un service de niveau intermédiaire et de falsifier les configurations de l’environnement.
Dans un scénario d’attaque hypothétique, cela aurait pu être utilisé pour acquérir le rôle d’administrateur système pour un système existant. directeur de service et envoyer des demandes de suppression d’un environnement, ainsi qu’abuser de l’API Azure AD Graph pour collecter des informations sur la cible afin d’organiser des activités de suivi.
Cependant, cela repose sur la possibilité qu’une victime clique sur un lien malveillant, de sorte que le code d’autorisation émis par Microsoft Entra ID lors de la connexion soit transmis à une URL de redirection détournée par l’acteur malveillant.
Cette divulgation intervient alors que Kroll a révélé une augmentation des campagnes de phishing sur le thème DocuSign utilisant des redirections ouvertes, permettant aux adversaires de propager des URL spécialement conçues qui, lorsqu’elles sont cliquées, redirigent les victimes potentielles vers un site malveillant.
« En créant une URL trompeuse qui exploite un site Web digne de confiance, les acteurs malveillants peuvent plus facilement manipuler les utilisateurs pour qu’ils cliquent sur le lien, ainsi que tromper/contourner la technologie réseau qui analyse les liens à la recherche de contenu malveillant », George Glass de Kroll. dit.
« Cela a pour conséquence qu’une victime est redirigée vers un site malveillant conçu pour voler des informations sensibles, telles que des identifiants de connexion, des détails de carte de crédit ou des données personnelles. »