Een exploitatie in de authenticatie van Azure Active Directory (AD) is inmiddels door Microsoft opgelost. Door de kwetsbaarheid konden indringers hun accountprivileges escaleren en het gehele account overnemen.
Organisaties kunnen Azure AD inzetten om gebruikerstoegang aan te sturen, bijvoorbeeld om de backend te leveren voor Office 365-gebruikers of om authenticatie te centraliseren tussen on-prem en cloud-gebaseerde omgevingen.
nOAuth
De misconfiguratie staat bekend als nOAuth bij Descope, dat de kwetsbaarheid ontdekte. AD OAuth-applicaties die gebruik maken van emailclaims om access tokens te genereren kunnen erdoor misbruikt worden. Het proces ter exploitatie klinkt even eenvoudig als zorgwekkend. Het Azure AD-admin account van een kwaadwillende hoeft alleen het emailadres van een doelwit ter verwijzing te hebben om in de kunnen loggen op een kwetsbare toepassing. Vanuit die toegang kunnen privileges geëscaleerd worden door laterale bewegingen binnen de getroffen omgeving.
In een blog signaleert Descope waar het misging bij Azure AD. De emailclaim is aanpasbaar en heeft geen verificatie nodig om als identifier te gelden. Microsoft ontmoedigde volgens Descope al dat gebruikers email voor login inzetten.
Kwetsbaar
Descope noemt ze niet bij naam, maar spreekt over “meerdere grote applicaties” die kwetsbaar waren. Het ging onder andere om een design-app met miljoenen maandelijkse gebruikers, een op de beurs genoteerd customer experience-bedrijf en een multi-cloud consulting-firma. Beheerders van kwetsbare applicaties kunnen terecht bij Descope’s ‘Suggested remediation steps‘.
Gezien het reusachtige marktaandeel van Azure AD binnen de identity and access management-wereld (27,53 procent volgens 6sense) kan een dergelijke kwetsbaarheid potentieel veel schade aanrichten. Echter heeft Microsoft achter de schermen al contact opgenomen met kwetsbare partijen nadat het van Descope bericht kreeg over de exploitatie op 11 april.
Lees ook: Microsoft Bing aan te passen door misconfiguratie in Azure Active Directory
22 uur geleden
