Organisasi yang telah menerapkan fitur โMasuk dengan Microsoftโ di lingkungan Microsoft Azure Active Directory mereka berpotensi rentan terhadap bypass autentikasi yang membuka pintu bagi pengambilalihan akun online dan cloud.
Menurut para peneliti di Descope, yang menjuluki serangan itu โnOAuth,โ masalahnya adalah kelemahan implementasi autentikasi yang memengaruhi aplikasi OAuth multi-penyewa di Azure AD, layanan manajemen akses dan identitas berbasis cloud milik Microsoft. Serangan yang berhasil memberikan pelaku kejahatan seluruh akun korban, dengan kemampuan untuk membangun persistensi, mengambil data, mengeksplorasi apakah pergerakan lateral mungkin terjadi, dan seterusnya.
"OAuth dan OpenID Terhubung merupakan standar terbuka dan populer yang telah digunakan oleh jutaan properti Web,โ kata Omer Cohen, CISO di Descope. โJika 'Masuk dengan Microsoft' tidak diterapkan dengan benar, beberapa aplikasi ini mungkin rentan terhadap pengambilalihan akun. Usaha kecil dengan sumber daya pengembang yang lebih sedikit dapat terkena dampaknya.โ
Di dalam Ancaman Serangan Siber noAuth
Secara latar belakang, OAuth adalah kerangka otorisasi terbuka berbasis token yang memungkinkan pengguna untuk masuk ke aplikasi secara otomatis, berdasarkan autentikasi sebelumnya ke aplikasi tepercaya lainnya. Hal ini familiar bagi kebanyakan orang dari opsi โMasuk dengan Facebookโ atau โMasuk dengan Googleโ yang tersedia di banyak situs web e-commerce.
Di lingkungan Azure Active Directory, OAuth digunakan untuk membantu mengelola akses pengguna ke sumber daya eksternal, seperti Microsoft 365, portal Microsoft Azure, dan ribuan aplikasi SaaS lainnya menggunakan aplikasi OAuth.
โAzure Active Directory juga mengelola sumber daya internal seperti aplikasi di intranet perusahaan Anda dan aplikasi cloud apa pun yang dikembangkan oleh organisasi Anda sendiri dengan menyediakan autentikasi melalui OAuth, OIDC, dan protokol standar lainnya,โ menurut analisis Descope. Dengan kata lain, ini menyimpan kunci untuk banyak data penting perusahaan.
Kelemahannya memungkinkan pelaku kejahatan melakukan spoofing lintas platform hanya dengan menggunakan alamat email korban tanpa disadari untuk meniru identitas mereka, menurut Analisis Descope tentang masalah ini, dirilis minggu ini.
โDalam implementasi OAuth dan OpenID Connect biasa, alamat email pengguna digunakan sebagai pengidentifikasi unik oleh aplikasi,โ jelas peneliti di Descope. โNamun, di Microsoft Azure AD, klaim 'email' yang dikembalikan dapat diubah dan tidak diverifikasi, sehingga tidak dapat dipercaya.โ
Artinya, siapa pun yang memiliki niat jahat dan memiliki pengetahuan platform yang memadai cukup menyiapkan akun Azure AD, dan secara sewenang-wenang mengubah atribut email di bawah โInformasi Kontakโ di akun tersebut untuk mengontrol klaim autentikasi email.
โ[Ini] memungkinkan penyerang menggunakan 'Masuk dengan Microsoft' dengan alamat email korban mana pun yang ingin mereka tiru,โ jelas para peneliti. โMereka dapat mengambil alih akun korban di aplikasi apa pun yang menggunakan klaim 'email' sebagai pengidentifikasi unik untuk Microsoft OAuth dan tidak memvalidasi alamat email tersebut, sehingga sepenuhnya melewati autentikasi.โ
Alur serangannya sangat sederhana:
- Penyerang mengakses akun Azure Active Directory mereka sebagai administrator.
- Penyerang mengubah atribut โemailโ dari akun mereka yang digunakan untuk otentikasi ke alamat email korban.
- Karena Microsoft tidak memerlukan perubahan email untuk divalidasi di Azure Active Directory, sistem menggabungkan kedua akun tersebut dan memberi penyerang akses ke lingkungan korban.
Kelemahan Otentikasi yang Jangka Panjang
Untuk lebih memahami cakupan masalahnya, para peneliti Descope membuat eksploitasi bukti konsep (PoC) nOAuth dan mengujinya โdengan serangan topi putih pada ratusan situs web dan aplikasi untuk memeriksa apakah ada di antara mereka yang rentan.โ mereka berkata. โKami menemukan bahwa cukup banyak dari mereka.โ
Di tengah krisis ini terdapat aplikasi desain dengan jutaan pengguna bulanan, perusahaan pengalaman pelanggan publik, penyedia konsultasi multicloud terkemuka, serta beberapa UKM dan startup tahap awal.
โKami juga menginformasikan dua penyedia platform autentikasi yang menggabungkan akun pengguna ketika 'Masuk dengan Microsoft' digunakan pada akun pengguna yang sudah ada,โ menurut laporan tersebut. โDalam hal ini, menggabungkan akun penyerang dengan akun pengguna yang sah akan menyerahkan kendali penuh atas akun pengguna tersebut kepada penyerang. Akibatnya, semua pelanggan mereka yang menggunakan 'Masuk dengan Microsoft' akan rentan.โ
Temuan-temuan ini, menurut para peneliti, โhanya setetes air di lautan Internet,โ dan kemungkinan besar ada ribuan pengguna lain yang mungkin terkena dampaknya.
Microsoft selalu mengeluarkan panduan umum kepada pengguna untuk tidak menggunakan alamat email sebagai pengidentifikasi unik untuk otentikasi, tetapi setelah Descope memberi tahu Microsoft tentang luasnya masalah ini, raksasa komputasi tersebut telah memperbarui panduan penerapan Azure Active Directory OAuth untuk memasukkan dua klaim baru untuk digunakan, dan bagian khusus tentang verifikasi klaim.
โJika aplikasi Anda menggunakan 'Masuk dengan Microsoft' dan Anda menangani autentikasi secara internal, penting bagi Anda untuk memeriksa apakah Anda menggunakan klaim email yang dikembalikan oleh Azure Active Directory sebagai pengidentifikasi unik,โ catat Cohen. โJika demikian, langkah remediasi harus diambil untuk memastikan klaim yang digunakan sebagai pengenal unik pengguna adalah klaim 'sub' (Subjek) untuk menghindari potensi eksploitasi.โ
Implementasi OAuth yang Salah Mengganggu Bisnis
Penerapan OAuth yang salah telah terungkap di bisnis-bisnis besar akhir-akhir ini, yang menunjukkan perlunya organisasi-organisasi untuk mengunci vektor serangan yang berpotensi merusak ini.
Pada bulan Maret misalnya, kelemahan dalam sistem otorisasi situs web Booking.com terungkap yang memungkinkan penyerang mengambil alih akun pengguna dan mendapatkan visibilitas penuh atas data pribadi atau data kartu pembayaran mereka, serta masuk ke akun di platform saudara situs web tersebut, Kayak.com.
Dan pada bulan Mei, bug yang dilacak sebagai CVE-2023-28131 adalah ditemukan dalam implementasi OAuth Expo, kerangka kerja sumber terbuka untuk mengembangkan aplikasi seluler asli untuk iOS, Android, dan platform Web lainnya menggunakan basis kode tunggal. Cacat tersebut mengancam akun pengguna mana pun yang menggunakan berbagai akun media sosial untuk masuk ke layanan online yang menggunakan kerangka tersebut.
Cohen menggarisbawahi bahwa standar OAuth dan standar serupa lainnya adalah pendekatan autentikasi yang dapat dipercaya dan kuat, namun perusahaan perlu memastikan untuk bekerja sama dengan pakar keamanan siber dan autentikasi saat membangunnya.
โStandar-standar ini sangat rumit untuk diterapkan,โ katanya. โOtentikasi bukanlah sesuatu yang bisa Anda tambahkan dan centang kotaknya. Menerapkan standar-standar ini dengan benar sangat penting untuk keamanan aplikasi.โ
Ia menambahkan, โJika perusahaan memilih untuk menerapkan standar ini secara internal, maka mereka harus melakukan pengujian pena secara berkala dan meninjau penerapannya, atau mereka dapat menggunakan platform autentikasi yang dibuat oleh pakar keamanan.โ
Ia menekankan pentingnya hal ini tidak bisa diremehkan, mengingat penjahat dunia maya secara aktif mencari kelemahan seperti ini.
โIni adalah vektor serangan yang sangat umum dieksploitasi,โ catat Cohen. โPenyerang menggunakan ini untuk menyebabkan kerusakan yang luas.โ
Ia menambahkan, โDengan semakin banyaknya organisasi yang mengadopsi teknologi cloud dan aplikasi SaaS, identitas adalah firewall baru. Jika autentikasi pengguna tidak dirancang dengan baik, tidak masalah seberapa aman aplikasi itu sendiri karena Anda akan membiarkan pintu depan terbuka terhadap serangan siber.โ
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- Keuangan EVM. Antarmuka Terpadu untuk Keuangan Terdesentralisasi. Akses Di Sini.
- Grup Media Kuantum. IR/PR Diperkuat. Akses Di Sini.
- PlatoAiStream. Kecerdasan Data Web3. Pengetahuan Diperkuat. Akses Di Sini.
- Sumber: https://www.darkreading.com/cloud/azure-ad-log-in-with-microsoft-authentication-bypass-affects-thousands
- :memiliki
- :adalah
- :bukan
- $NAIK
- 7
- a
- kemampuan
- mengakses
- Menurut
- Akun
- Akun
- aktif
- aktif
- aktor
- Ad
- menambahkan
- alamat
- Menambahkan
- Mengadopsi
- Setelah
- Semua
- memungkinkan
- sudah
- juga
- selalu
- jumlah
- an
- analisis
- dan
- android
- Lain
- Apa pun
- siapapun
- aplikasi
- Aplikasi
- aplikasi
- pendekatan
- aplikasi
- ADALAH
- AS
- At
- menyerang
- Otentikasi
- otorisasi
- secara otomatis
- tersedia
- menghindari
- Biru langit
- latar belakang
- Buruk
- berdasarkan
- BE
- menjadi
- Lebih baik
- Besar
- pemesanan
- Booking.com
- Kotak
- luasnya
- Bug
- Bangunan
- dibangun di
- bisnis
- tapi
- by
- datang
- CAN
- tidak bisa
- Menyebabkan
- perubahan
- memeriksa
- memilih
- CISO
- klaim
- klaim
- awan
- Basis kode
- cohen
- COM
- kedatangan
- perusahaan
- sama sekali
- rumit
- komputasi
- Terhubung
- konsultasi
- kontak
- kontrol
- Timeline
- bisa
- dibuat
- kritis
- pelanggan
- pengalaman pelanggan
- pelanggan
- Serangan cyber
- cyberattacks
- penjahat cyber
- Keamanan cyber
- merusak
- data
- dedicated
- Mendesain
- dikembangkan
- Pengembang
- berkembang
- tidak
- Tidak
- Oleh
- turun
- Menjatuhkan
- dijuluki
- e-commerce
- tahap awal
- memastikan
- Lingkungan Hidup
- lingkungan
- terutama
- menetapkan
- ada
- pengalaman
- ahli
- menjelaskan
- Mengeksploitasi
- eksploitasi
- dieksploitasi
- menyelidiki
- luar
- sangat
- akrab
- Fitur
- beberapa
- sedikit
- Temuan
- firewall
- cacat
- aliran
- Untuk
- ditemukan
- Kerangka
- dari
- depan
- penuh
- Mendapatkan
- Umum
- raksasa
- diberikan
- memberikan
- bimbingan
- tangan
- menangani
- membahayakan
- Memiliki
- he
- membantu
- memegang
- Seterpercayaapakah Olymp Trade? Kesimpulan
- Namun
- HTTPS
- Ratusan
- identifier
- identitas
- if
- dampak
- melaksanakan
- implementasi
- diimplementasikan
- mengimplementasikan
- pentingnya
- penting
- in
- Di lain
- memasukkan
- Meningkatkan
- informasi
- informasi
- contoh
- maksud
- intern
- Internet
- ke
- iOS
- isu
- Ditempatkan
- IT
- NYA
- Diri
- jpg
- hanya
- kunci-kunci
- pengetahuan
- terkemuka
- Meninggalkan
- sah
- cahaya
- 'like'
- Mungkin
- mencatat
- mencari
- Lot
- membuat
- mengelola
- pengelolaan
- mengelola
- banyak
- March
- hal
- Mungkin..
- cara
- Media
- bergabung
- penggabungan
- Microsoft
- Microsoft Azure
- jutaan
- mobil
- ponsel-apps
- bulanan
- paling
- gerakan
- harus
- asli
- Perlu
- New
- Catatan
- sumpah
- samudra
- of
- on
- secara online
- Buka
- open source
- membuka
- Opsi
- or
- organisasi
- organisasi
- Lainnya
- Lainnya
- lebih
- sendiri
- Konsultan Ahli
- Melakukan
- ketekunan
- pribadi
- Wabah
- Platform
- Platform
- plato
- Kecerdasan Data Plato
- Data Plato
- PoC
- Populer
- Portal
- mungkin
- potensi
- berpotensi
- sebelumnya
- Masalah
- properties
- protokol
- pemberi
- penyedia
- menyediakan
- di depan umum
- reguler
- dirilis
- melaporkan
- membutuhkan
- peneliti
- Sumber
- mengakibatkan
- ulasan
- Run
- s
- SaaS
- Tersebut
- mengatakan
- cakupan
- bagian
- aman
- keamanan
- layanan
- set
- beberapa
- harus
- menampilkan
- Sederhana
- hanya
- tunggal
- saudara
- Duduk
- kecil
- usaha kecil
- UKM
- So
- Sosial
- media sosial
- sesuatu
- sumber
- standar
- standar
- Startups
- Tangga
- kuat
- subyek
- sukses
- seperti itu
- sistem
- Mengambil
- diambil
- pengambilalihan
- Teknologi
- diuji
- pengujian
- bahwa
- Grafik
- mereka
- Mereka
- kemudian
- Sana.
- Ini
- mereka
- ini
- minggu ini
- ribuan
- untuk
- diperdagangkan
- Terpercaya
- terpercaya
- dua
- jenis
- khas
- bawah
- garis bawah
- memahami
- unik
- menggunakan
- bekas
- Pengguna
- Pengguna
- kegunaan
- menggunakan
- MENGESAHKAN
- divalidasi
- berbagai
- Verifikasi
- sangat
- melalui
- Korban
- korban
- jarak penglihatan
- Rentan
- ingin
- adalah
- Cara..
- we
- kelemahan
- jaringan
- Situs Web
- situs web
- minggu
- BAIK
- adalah
- ketika
- yang
- SIAPA
- tersebar luas
- akan
- dengan
- kata
- Kerja
- akan
- Kamu
- Anda
- zephyrnet.dll