Kritická zraniteľnosť sa nachádza v protokole pre autentifikáciu a autorizáciu tretích strán v cloudovej službe Azure AD od spoločnosti Microsoft. Každá akcia vykonaná cez možnosť „prihlásenie sa pomocou Microsoftu“ môže byť vystavená útokom a môže viesť k úplnému prevzatiu kontroly nad účtom alebo zvýšeniu privilégií útočníka.
Zraniteľné systémy:
Microsoft Azure AD OAuth
Opis činnosti:
Táto bezpečnostná chyba, nazvaná nOAuth, je popísaná ako nedostatok v implementácii autentifikácie. Zraniteľnosť môže ovplyvniť protokol OAuth aplikácií Microsoft Azure AD s viacerými nájomníkmi. Pri bežných implementáciách OAuth a OpenID Connect protokolov sa ako jednoznačný identifikátor používa emailová adresa používateľa. Väčšina poskytovateľov identít poskytuje ako unikátny identifikátor – „email“. Využívanie emailu, ako unikátneho identifikátora sa stáva problémom, keď je možné zmeniť tento identifikátor bez overenia tejto zmeny. V prípade cloudovej služby Azure AD je emailový identifikátor možné zmeniť bez toho, aby služba tento prvok overila. Preto Microsoft neodporúča používať email ako identifikátor. Na vykonanie útoku stačí, ak si útočník vytvorí nájomcu Azure AD a v atribúte „Contact Information“ zmení svoju e-mailovú adresu na adresu obete, čím zmení premennú „email“ v JSON web tokene. Následne v zraniteľnej aplikácii využije možnosť „Log in with Microsoft“. Úspešné zneužitie tejto chyby poskytuje útočníkovi „otvorené pole“ pre získanie kontroly nad účtom obete.
Na ochranu zákazníkov a zraniteľných aplikácií nasadila spoločnosť Microsoft opatrenia na overovanie údajov z tokenu. Tieto umožnia aplikáciám overiť, či položka email obsahuje overenú doménu a položku redigovať, pokiaľ doména nie je overená.
Závažnosť zraniteľnosti: Vysoká
Možné škody:
- Eskalácia privilégií
- Kompromitácia dôvernosti, dostupnosti a integrity systému
- Únik informácií
Odporúčania:
Nikdy nepoužívať email pre účely autorizácie do Azure AD.
Odkazy:
https://www.descope.com/blog/post/noauth
Zdroj: csirt.gov.sk