A Microsoft corrigiu uma falha de autenticação do Azure Active Directory (Azure AD) que poderia permitir que atores mal-intencionados aumentassem os privilégios e potencialmente assumissem completamente a conta do alvo.
Essa má configuração (chamada de nOAuth pela equipe de segurança Descope que a descobriu) poderia ser explorada em ataques de escalonamento de conta e privilégios contra aplicativos Azure AD OAuth configurados para usar a reivindicação de e-mail de tokens de acesso para autorização.
Um atacante só precisava mudar o e-mail em sua conta de administrador do Azure AD para o endereço de e-mail da vítima e usar o recurso "Log in with Microsoft" para autorização no aplicativo ou site vulnerável.
Isso permite que eles assumam o controle completo da conta do alvo se os recursos visados permitirem o uso de endereços de e-mail como identificadores exclusivos durante o processo de autorização.
Essa tática também pode ser usada quando a vítima nem mesmo tem uma conta da Microsoft, e era um método de ataque viável porque o Azure AD não exigia validação de alterações de e-mail.
A Microsoft corrigiu a configuração nOAuth por meio de mitigação emitida hoje, após um relatório inicial enviado pela Descope em 11 de abril de 2023.
A empresa também aconselhou fortemente os desenvolvedores a avaliarem minuciosamente a lógica empresarial de autorização de seus aplicativos e aderirem a essas diretrizes para proteger contra o acesso não autorizado.
Além disso, os desenvolvedores são incentivados a adotar as melhores práticas recomendadas para validação de token ao utilizar a plataforma de identidade da Microsoft.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...