Organisationer, der har implementeret funktionen "Log ind med Microsoft" i deres Microsoft Azure Active Directory-miljøer, kan potentielt være sårbare over for en autentificeringsomgåelse, der åbner døren for overtagelse af online- og cloud-kontoer.
Ifølge forskere hos Descope, som kaldte angrebet "nOAuth", er problemet en autentificeringsimplementeringsfejl, der påvirker multitenant OAuth-applikationer i Azure AD, Microsofts skybaserede identitets- og adgangsstyringstjeneste. Et vellykket angreb giver en dårlig skuespiller fuld oversigt over et offers beretninger, med evnen til at etablere vedholdenhed, eksfiltrere data, undersøge, om lateral bevægelse er mulig, og så videre.
"OAuth og OpenID Connect er åbne, populære standarder, som millioner af webejendomme allerede bruger,” siger Omer Cohen, CISO hos Descope. "Hvis 'Log ind med Microsoft' er forkert implementeret, kan flere af disse apps være sårbare over for kontoovertagelse. Små virksomheder med færre udviklerressourcer kan især blive påvirket."
Inde i nOAuth Cyberattack-truslen
Som baggrund er OAuth en åben, token-baseret autorisationsramme, der giver brugerne mulighed for automatisk at logge på applikationer baseret på tidligere godkendelse til en anden betroet app. Dette kender de fleste fra mulighederne "Log ind med Facebook" eller "Log ind med Google", der er tilgængelige på mange e-handelswebsteder.
I Azure AD-miljøet bruges OAuth til at hjælpe med at administrere brugeradgang til eksterne ressourcer, såsom Microsoft 365, Azure-portalen og tusindvis af andre SaaS-applikationer, der bruger OAuth-apps.
"Azure Active Directory administrerer også interne ressourcer som apps på dit virksomheds intranet og alle cloud-apps udviklet af din egen organisation ved at levere godkendelser via OAuth, OIDC og andre standardprotokoller," ifølge Descope-analysen. Det rummer med andre ord nøglerne til en masse vigtige virksomhedsdata.
Svagheden gør det muligt for dårlige skuespillere at udføre spoofing på tværs af platforme blot ved at bruge et ubevidst offers e-mailadresse til at efterligne dem, ifølge Descopes analyse af spørgsmålet, udgivet i denne uge.
"I sædvanlige OAuth- og OpenID Connect-implementeringer bruges brugerens e-mailadresse som den unikke identifikator af applikationer," forklarede forskere ved Descope. "I Microsoft Azure AD er den returnerede 'e-mail'-påstand imidlertid mutbar og ubekræftet, så den kan ikke stoles på."
Det betyder, at alle med ondsindet hensigt og en anstændig mængde platformsviden blot kan konfigurere en Azure AD-konto og vilkårligt ændre e-mail-attributten under "Kontaktoplysninger" på den konto for at kontrollere e-mail-godkendelseskravet.
"[Dette] giver angriberen mulighed for at bruge 'Log ind med Microsoft' med e-mail-adressen på ethvert offer, de ønsker at efterligne," forklarede forskerne. "De kan overtage ofrenes konti på enhver app, der bruger 'e-mail'-krav som den unikke identifikator for Microsoft OAuth og ikke validerer denne e-mailadresse, helt uden om godkendelse."
Angrebsstrømmen er foruroligende enkel:
- Angriberne får adgang til deres Azure AD-konto som administrator.
- Angriberne ændrer "e-mail"-attributten for deres konto, der bruges til godkendelse, til offerets e-mailadresse.
- Da Microsoft ikke kræver, at e-mailændringen skal valideres på Azure AD, flettes de to konti sammen og giver angriberne adgang til offerets miljø.
En vidtgående autentificeringssvaghed
For bedre at forstå omfanget af problemet skabte Descope-forskerne en nOAuth proof-of-concept (PoC) udnyttelse og testede den "med et white-hat-angreb på hundredvis af websteder og applikationer for at kontrollere, om nogen af dem var sårbare." de sagde. "Vi fandt ud af, at en hel del af dem var."
Midt i de siddende ænder var der en design-app med millioner af månedlige brugere, en børsnoteret kundeoplevelsesvirksomhed, en førende multicloud-konsulentudbyder samt adskillige SMB'er og startups i de tidlige stadier.
"Vi informerede også to udbydere af godkendelsesplatforme, der slog brugerkonti sammen, da 'Log ind med Microsoft' blev brugt på en eksisterende brugerkonto," ifølge rapporten. "I dette tilfælde vil en sammenlægning af angriberkontoen med en legitim brugerkonto give fuld kontrol over brugerkontoen til angriberen. Som følge heraf ville alle deres kunder, der bruger 'Log ind med Microsoft', have været sårbare."
Disse resultater er ifølge forskerne "en dråbe i internettets hav", og der er sandsynligvis mange, mange tusinde andre brugere, der kan blive påvirket.
Microsoft har altid udstedt en generel vejledning til brugere om ikke at bruge en e-mailadresse som en unik identifikator til godkendelse, men efter at Descope informerede Microsoft om omfanget af problemet, har computergiganten fornyet sin Azure AD OAuth-implementeringsvejledning at inkludere to nye krav til brug og dedikerede sektioner om kravverifikation.
"Hvis din app bruger 'Log ind med Microsoft', og du håndterer godkendelse internt, er det afgørende, at du tjekker, om du bruger e-mail-kravet, der returneres af Azure AD, som den unikke identifikator," bemærker Cohen. "Hvis det er tilfældet, bør der tages afhjælpende skridt for at sikre, at den påstand, der bruges som den unikke identifikator for brugeren, er "sub"-påstanden (emne) for at undgå potentiel udnyttelse."
Forkerte OAuth-implementeringer plager virksomheder
Forkerte implementeringer af OAuth er kommet frem i store virksomheder på det seneste, hvilket viser et behov for organisationer for at låse denne potentielt skadelige angrebsvektor.
I marts var der f.eks. mangler i autorisationssystemet på Booking.com-webstedet kom frem, der kunne have gjort det muligt for angribere at overtage brugerkonti og få fuld synlighed i deres personlige data eller betalingskortdata, samt logge ind på konti på hjemmesidens søsterplatform, Kayak.com.
Og i maj blev en fejl sporet som CVE-2023-28131 findes i OAuth-implementeringen af Expo, en open source-ramme til udvikling af native mobilapps til iOS, Android og andre webplatforme ved hjælp af en enkelt kodebase. Fejlen truede konti for alle brugere, der brugte forskellige og sociale mediekonti til at logge ind på en onlinetjeneste, der bruger rammen.
Cohen understreger, at OAuth-standarden og andre lignende den er pålidelige og stærke autentificeringstilgange, men at virksomheder skal sørge for at arbejde med cybersikkerheds- og autentificeringseksperter, når de indbygger dem.
"Disse standarder er ekstremt komplicerede at arbejde med," siger han. “Godkendelse er ikke noget, du bare kan tilføje og markere en boks. At implementere disse standarder korrekt er afgørende for applikationens sikkerhed."
Han tilføjer: "Hvis virksomheder vælger at implementere disse standarder internt, så skal de have regelmæssig pentestning og gennemgang af implementeringen, eller de kan bruge en godkendelsesplatform, der er bygget af sikkerhedseksperter."
Han understreger, at vigtigheden af dette ikke kan undervurderes, da cyberkriminelle aktivt leder efter disse typer af svagheder.
"Dette er meget typiske angrebsvektorer, der udnyttes," bemærker Cohen. "Angribere bruger disse til at forårsage omfattende skade."
Han tilføjer: "Med stigningen i organisationer, der anvender cloud-teknologier og SaaS-applikationer, er identitet den nye firewall. Hvis brugergodkendelse ikke er veldesignet, er det lige meget, hvor sikker selve applikationen er, da du vil lade hoveddøren stå åben for cyberangreb."
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- EVM Finans. Unified Interface for Decentralized Finance. Adgang her.
- Quantum Media Group. IR/PR forstærket. Adgang her.
- PlatoAiStream. Web3 Data Intelligence. Viden forstærket. Adgang her.
- Kilde: https://www.darkreading.com/cloud/azure-ad-log-in-with-microsoft-authentication-bypass-affects-thousands
- :har
- :er
- :ikke
- $OP
- 7
- a
- evne
- adgang
- Ifølge
- Konto
- Konti
- aktiv
- aktivt
- aktører
- Ad
- tilføje
- adresse
- Tilføjer
- Vedtagelsen
- Efter
- Alle
- tillader
- allerede
- også
- altid
- beløb
- an
- analyse
- ,
- android
- En anden
- enhver
- nogen
- app
- Anvendelse
- applikationer
- tilgange
- apps
- ER
- AS
- At
- angribe
- Godkendelse
- tilladelse
- automatisk
- til rådighed
- undgå
- Azure
- baggrund
- Bad
- baseret
- BE
- været
- Bedre
- Big
- booking
- Booking.com
- Boks
- bredde
- Bug
- Bygning
- bygget
- virksomheder
- men
- by
- kom
- CAN
- kan ikke
- Årsag
- lave om
- kontrollere
- valgte
- CISO
- krav
- fordringer
- Cloud
- codebase
- cohen
- KOM
- kommer
- selskab
- fuldstændig
- kompliceret
- computing
- Tilslut
- rådgivning
- kontakt
- kontrol
- Corporate
- kunne
- oprettet
- kritisk
- kunde
- Kundeoplevelse
- Kunder
- Cyber angreb
- cyberangreb
- cyberkriminelle
- Cybersecurity
- beskadige
- data
- dedikeret
- Design
- udviklet
- Udvikler
- udvikling
- gør
- Er ikke
- Ved
- ned
- Drop
- døbt
- e-handel
- tidlig stadie
- sikre
- Miljø
- miljøer
- især
- etablere
- eksisterende
- erfaring
- eksperter
- forklarede
- Exploit
- udnyttelse
- Exploited
- udforske
- ekstern
- ekstremt
- bekendt
- Feature
- få
- færre
- fund
- firewall
- fejl
- flow
- Til
- fundet
- Framework
- fra
- forsiden
- fuld
- Gevinst
- Generelt
- kæmpe
- given
- giver
- vejledning
- hånd
- håndtere
- skade
- Have
- he
- hjælpe
- besidder
- Hvordan
- Men
- HTTPS
- Hundreder
- identifikator
- Identity
- if
- påvirket
- gennemføre
- implementering
- implementeret
- gennemføre
- betydning
- vigtigt
- in
- I andre
- omfatter
- Forøg
- oplysninger
- informeret
- instans
- hensigt
- interne
- Internet
- ind
- iOS
- spørgsmål
- Udstedt
- IT
- ITS
- selv
- jpg
- lige
- nøgler
- viden
- førende
- Forlade
- legitim
- lys
- ligesom
- Sandsynlig
- log
- leder
- Lot
- lave
- administrere
- ledelse
- administrerer
- mange
- Marts
- Matter
- Kan..
- midler
- Medier
- fletninger
- sammenlægning
- microsoft
- Microsoft Azure
- millioner
- Mobil
- mobil-apps
- månedligt
- mest
- bevægelse
- skal
- indfødte
- Behov
- Ny
- Noter
- oauth
- ocean
- of
- on
- online
- åbent
- open source
- åbner
- Indstillinger
- or
- organisation
- organisationer
- Andet
- Andre
- i løbet af
- egen
- Mennesker
- Udfør
- udholdenhed
- personale
- Plague
- perron
- Platforme
- plato
- Platon Data Intelligence
- PlatoData
- PoC
- Populær
- Portal
- mulig
- potentiale
- potentielt
- tidligere
- Problem
- egenskaber
- protokoller
- udbyder
- udbydere
- leverer
- offentligt
- fast
- frigivet
- indberette
- kræver
- forskere
- Ressourcer
- resultere
- gennemgå
- Kør
- s
- SaaS
- Said
- siger
- rækkevidde
- sektioner
- sikker
- sikkerhed
- tjeneste
- sæt
- flere
- bør
- fremvisning
- Simpelt
- ganske enkelt
- enkelt
- søster
- Siddende
- lille
- små virksomheder
- SMB'er
- So
- Social
- sociale medier
- noget
- Kilde
- standard
- standarder
- Nystartede
- Steps
- stærk
- emne
- vellykket
- sådan
- systemet
- Tag
- taget
- overtage
- Teknologier
- afprøvet
- Test
- at
- deres
- Them
- derefter
- Der.
- Disse
- de
- denne
- denne uge
- tusinder
- til
- handles
- betroet
- troværdig
- to
- typer
- typisk
- under
- understregninger
- forstå
- enestående
- brug
- anvendte
- Bruger
- brugere
- bruger
- ved brug af
- VALIDATE
- valideret
- forskellige
- Verifikation
- meget
- via
- Victim
- ofre
- synlighed
- Sårbar
- ønsker
- var
- Vej..
- we
- Svaghed
- web
- Hjemmeside
- websites
- uge
- GODT
- var
- hvornår
- som
- WHO
- udbredt
- vilje
- med
- ord
- Arbejde
- ville
- Du
- Din
- zephyrnet