Une lacune de sécurité dans Microsoft Azure Active Directory (AD) Open Authorization (OAuth) Le processus aurait pu être exploité pour parvenir à une prise de contrôle complète du compte, ont déclaré des chercheurs.
Le service californien de gestion des identités et des accès Descope, qui a découvert et signalé le problème en avril 2023, l’a surnommé nOAuth.
« nOAuth est une faille d’implémentation d’authentification qui peut affecter les applications OAuth multi-locataires de Microsoft Azure AD », Omer Cohen, directeur de la sécurité chez Descope, a dit.
La mauvaise configuration est liée à la façon dont un acteur malveillant peut modifier les attributs de messagerie sous « Informations de contact » dans le compte Azure AD et exploiter la fonctionnalité « Connexion avec Microsoft » pour détourner un compte victime.
Pour réussir l’attaque, tout ce qu’un adversaire a à faire est de créer et d’accéder à un compte administrateur Azure AD et de modifier son adresse e-mail en celle d’une victime et de profiter du schéma d’authentification unique sur une application ou un site Web vulnérable.
« Si l’application fusionne des comptes d’utilisateurs sans validation, l’attaquant a désormais un contrôle total sur le compte de la victime, même si la victime n’a pas de compte Microsoft », a expliqué Cohen.
Une exploitation réussie accorde à l’adversaire un « champ ouvert » pour configurer la persistance, exfiltrer les données et effectuer d’autres activités de post-exploitation en fonction de la nature de l’application.
Cela vient du fait qu’une adresse e-mail est à la fois modifiable et non vérifiée dans Azure AD, ce qui incite Microsoft à émettre un avertissement. ne pas utiliser les réclamations par e-mail à des fins d’autorisation.
🔐 Maîtriser la sécurité des API : Comprendre votre véritable surface d’attaque
Découvrez les vulnérabilités inexploitées de votre écosystème d’API et prenez des mesures proactives pour une sécurité à toute épreuve. Rejoignez notre webinaire perspicace !
Le géant de la technologie a qualifié le problème d' »anti-modèle non sécurisé utilisé dans les applications Azure AD (AAD) » où l’utilisation de la réclamation par e-mail des jetons d’accès pour l’autorisation peut entraîner une élévation des privilèges.
« Un attaquant peut falsifier la réclamation par e-mail dans les jetons émis pour les applications », a-t-il déclaré. indiqué. « De plus, la menace de fuite de données existe si les applications utilisent de telles revendications pour la recherche d’e-mails. »
Il a également déclaré avoir identifié et notifié plusieurs applications multi-locataires avec des utilisateurs qui utilisent une adresse e-mail avec un propriétaire de domaine non vérifié.