A Microsoft corrigiu uma falha de autenticação do Azure Active Directory (Azure AD) que poderia permitir que atores mal-intencionados aumentassem os privilégios e potencialmente assumissem completamente a conta do alvo.
Essa má configuração (chamada de nOAuth pela equipe de segurança Descope que a descobriu) poderia ser explorada em ataques de escalonamento de conta e privilégios contra aplicativos Azure AD OAuth configurados para usar a reivindicação de e-mail de tokens de acesso para autorização.
Um atacante só precisava mudar o e-mail em sua conta de administrador do Azure AD para o endereço de e-mail da vítima e usar o recurso "Log in with Microsoft" para autorização no aplicativo ou site vulnerável.
Isso permite que eles assumam o controle completo da conta do alvo se os recursos visados permitirem o uso de endereços de e-mail como identificadores exclusivos durante o processo de autorização.
Essa tática também pode ser usada quando a vítima nem mesmo tem uma conta da Microsoft, e era um método de ataque viável porque o Azure AD não exigia validação de alterações de e-mail.
A Microsoft corrigiu a configuração nOAuth por meio de mitigação emitida hoje, após um relatório inicial enviado pela Descope em 11 de abril de 2023.
A empresa também aconselhou fortemente os desenvolvedores a avaliarem minuciosamente a lógica empresarial de autorização de seus aplicativos e aderirem a essas diretrizes para proteger contra o acesso não autorizado.
Além disso, os desenvolvedores são incentivados a adotar as melhores práticas recomendadas para validação de token ao utilizar a plataforma de identidade da Microsoft.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...