Pesquisadores de segurança cibernética descobriram um caso de escalada de privilégios associado a uma aplicação da Microsoft Entra ID (anteriormente Azure Active Directory), aproveitando-se de uma URL de resposta abandonada.
"Um invasor poderia aproveitar esta URL abandonada para redirecionar códigos de autorização para si mesmo, trocando os códigos de autorização obtidos de maneira ilícita por tokens de acesso", disse a Secureworks Counter Threat Unit (CTU) em um relatório técnico publicado na semana passada.
"O ator da ameaça poderia então convocar a API da Power Platform por meio de um serviço de nível intermediário e obter privilégios elevados."
Após a divulgação responsável em 5 de abril de 2023, a questão foi abordada pela Microsoft por meio de uma atualização lançada um dia depois.
A Secureworks também disponibilizou uma ferramenta de código aberto que outras organizações podem usar para procurar URLs de resposta abandonadas.
A URL de resposta, também chamada de URI de redirecionamento, refere-se ao local para onde o servidor de autorização envia o usuário assim que o aplicativo foi autorizado com sucesso e concedido um código de autorização ou token de acesso.
"O servidor de autorização envia o código ou token para a URI de redirecionamento, portanto é importante que você registre a localização correta como parte do processo de registro do aplicativo", observa a Microsoft em sua documentação.
A Secureworks CTU disse que identificou uma URL de resposta abandonada do aplicativo Dynamics Data Integration associado ao perfil do Azure Traffic Manager, que possibilitava invocar a API da Power Platform por meio de um serviço intermediário e mexer com as configurações do ambiente.
Em um cenário de ataque hipotético, isso poderia ter sido usado para adquirir a função de administrador do sistema para um serviço existente e enviar solicitações para excluir um ambiente, além de abusar da API do Azure AD Graph para coletar informações sobre o alvo a fim de preparar atividades subsequentes.
Isso, no entanto, depende da possibilidade de uma vítima clicar em um link malicioso, como resultado do qual o código de autorização emitido pela Microsoft Entra ID no login é entregue a uma URL de redirecionamento sequestrada pelo ator da ameaça.
A divulgação ocorre quando a Kroll revelou um aumento nas campanhas de phishing com temas do DocuSign utilizando redirecionamentos abertos, permitindo aos adversários propagar URLs cuidadosamente elaboradas que, quando clicadas, redirecionam potenciais vítimas para um site malicioso.
"Ao criar uma URL enganosa que se aproveita de um site confiável, atores maliciosos podem manipular mais facilmente usuários para clicar no link, bem como enganar/burlar a tecnologia de rede que verifica os links quanto a conteúdo malicioso", disse George Glass da Kroll.
"Isto resulta numa vítima sendo redirecionada para um site malicioso projetado para roubar informações sensíveis, como credenciais de login, detalhes de cartão de crédito ou dados pessoais."
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...