Le organizzazioni che hanno implementato la funzionalità “Accedi con Microsoft” nei propri ambienti Microsoft Azure Active Directory potrebbero essere potenzialmente vulnerabili a un bypass dell’autenticazione che apre la porta all’acquisizione di account online e cloud.
Secondo i ricercatori di Descope, che hanno soprannominato l'attacco “nOAuth”, il problema è un difetto di implementazione dell'autenticazione che colpisce le applicazioni OAuth multitenant in Azure AD, il servizio di gestione delle identità e degli accessi basato su cloud di Microsoft. Un attacco riuscito fornisce a un malintenzionato il controllo completo dei conti della vittima, con la capacità di stabilire persistenza, esfiltrare dati, esplorare se è possibile il movimento laterale e così via.
"OAuth e OpenID Connect sono standard aperti e popolari che milioni di proprietà Web già utilizzano", afferma Omer Cohen, CISO presso Descope. "Se la funzione 'Accedi con Microsoft' viene implementata in modo improprio, molte di queste app potrebbero essere vulnerabili all'acquisizione di account. Le piccole imprese con meno risorse di sviluppo potrebbero essere particolarmente colpite”.
All'interno della minaccia di attacco informatico nOAuth
In sostanza, OAuth è un framework di autorizzazione aperto e basato su token che consente agli utenti di accedere automaticamente alle applicazioni, in base alla precedente autenticazione su un'altra app attendibile. Questo è familiare alla maggior parte delle persone dalle opzioni “Accedi con Facebook” o “Accedi con Google” disponibili su molti siti di e-commerce.
Nell'ambiente Azure AD, OAuth viene utilizzato per gestire l'accesso degli utenti a risorse esterne, come Microsoft 365, il portale di Azure e migliaia di altre applicazioni SaaS che utilizzano app OAuth.
"Azure Active Directory gestisce anche le risorse interne come le app sulla intranet aziendale e qualsiasi app cloud sviluppata dalla propria organizzazione fornendo autenticazioni tramite OAuth, OIDC e altri protocolli standard", secondo l'analisi Descope. In altre parole, contiene le chiavi di molti dati aziendali importanti.
La debolezza consente ai malintenzionati di eseguire spoofing multipiattaforma semplicemente utilizzando l'indirizzo e-mail di una vittima inconsapevole per impersonificarli, secondo L'analisi di Descope sulla questione, rilasciato questa settimana.
"Nelle normali implementazioni OAuth e OpenID Connect, l'indirizzo e-mail dell'utente viene utilizzato come identificatore univoco dalle applicazioni", hanno spiegato i ricercatori di Descope. "Tuttavia, in Microsoft Azure AD, l'attestazione 'e-mail' restituita è modificabile e non verificata, quindi non può essere considerata attendibile."
Ciò significa che chiunque abbia intenti dannosi e una discreta conoscenza della piattaforma può semplicemente configurare un account Azure AD e modificare arbitrariamente l'attributo e-mail in "Informazioni di contatto" in tale account per controllare la richiesta di autenticazione e-mail.
"[Questo] consente all'aggressore di utilizzare 'Accedi con Microsoft' con l'indirizzo email di qualsiasi vittima che vuole impersonare", hanno spiegato i ricercatori. "Possono impossessarsi degli account delle vittime su qualsiasi app che utilizzi l'attestazione 'e-mail' come identificatore univoco per Microsoft OAuth e non convalidi l'indirizzo e-mail, ignorando completamente l'autenticazione."
Il flusso di attacco è incredibilmente semplice:
- Gli aggressori accedono al proprio account Azure AD come amministratore.
- Gli aggressori modificano l'attributo "email" del loro account utilizzato per l'autenticazione con l'indirizzo e-mail della vittima.
- Poiché Microsoft non richiede la convalida della modifica dell'e-mail su Azure AD, il sistema unisce i due account e fornisce agli aggressori l'accesso all'ambiente della vittima.
Una debolezza di autenticazione di vasta portata
Per comprendere meglio la portata del problema, i ricercatori di Descope hanno creato un exploit proof-of-concept (PoC) nOAuth e lo hanno testato “con un attacco white-hat su centinaia di siti Web e applicazioni per verificare se qualcuno di essi fosse vulnerabile”. loro hanno detto. "Abbiamo scoperto che parecchi di loro lo erano."
Tra le anatre sedute c'erano un'app di progettazione con milioni di utenti mensili, una società di customer experience quotata in borsa, un fornitore leader di consulenza multicloud, nonché diverse PMI e startup in fase iniziale.
"Abbiamo anche informato due fornitori di piattaforme di autenticazione che stavano unendo gli account utente quando 'Accedi con Microsoft' veniva utilizzato su un account utente esistente", secondo il rapporto. “In questo caso, unire l’account dell’aggressore con un account utente legittimo cederebbe il pieno controllo sull’account utente all’aggressore. Di conseguenza, tutti i loro clienti che utilizzavano la funzione "Accedi con Microsoft" sarebbero stati vulnerabili."
Questi risultati, secondo i ricercatori, “sono una goccia nell’oceano di Internet” e probabilmente ci sono molte, molte migliaia di altri utenti che potrebbero essere colpiti.
Microsoft ha sempre fornito indicazioni generali agli utenti affinché non utilizzino un indirizzo e-mail come identificatore univoco per l'autenticazione, ma dopo che Descope ha informato Microsoft dell'ampiezza del problema, il gigante informatico ha ha rinnovato le linee guida per l'implementazione di Azure AD OAuth per includere due nuove attestazioni da utilizzare e sezioni dedicate alla verifica delle attestazioni.
"Se la tua app utilizza la funzione 'Accedi con Microsoft' e gestisci l'autenticazione internamente, è fondamentale verificare se utilizzi l'attestazione di posta elettronica restituita da Azure AD come identificatore univoco", osserva Cohen. "In tal caso, dovrebbero essere adottate misure correttive per garantire che l'affermazione utilizzata come identificatore univoco per l'utente sia l'affermazione 'sub' (Oggetto) per evitare potenziali sfruttamenti."
Implementazioni OAuth errate affliggono le aziende
Ultimamente sono emerse implementazioni errate di OAuth nelle grandi aziende, dimostrando la necessità per le organizzazioni di bloccare questo vettore di attacco potenzialmente dannoso.
A marzo, ad esempio, difetti nel sistema di autorizzazione del sito Booking.com sono emersi attacchi che avrebbero potuto consentire agli aggressori di impossessarsi degli account degli utenti e ottenere piena visibilità dei loro dati personali o delle carte di pagamento, nonché di accedere agli account sulla piattaforma gemella del sito web, Kayak.com.
E a maggio è stato rilevato un bug rilevato come CVE-2023-28131 trovato nell'implementazione OAuth di Expo, un framework open source per lo sviluppo di app mobili native per iOS, Android e altre piattaforme Web utilizzando un'unica codebase. La falla ha minacciato gli account di tutti gli utenti che hanno utilizzato vari account di social media per accedere a un servizio online che utilizza il framework.
Cohen sottolinea che lo standard OAuth e altri simili sono approcci di autenticazione forti e affidabili, ma che le aziende devono assicurarsi di collaborare con esperti di sicurezza informatica e autenticazione quando li implementano.
"È estremamente complicato lavorare con questi standard", afferma. “L'autenticazione non è qualcosa che puoi semplicemente aggiungere e selezionare una casella. La corretta implementazione di questi standard è fondamentale per la sicurezza dell’applicazione.”
Aggiunge: "Se le aziende scelgono di implementare questi standard internamente, devono sottoporsi regolarmente a test e revisioni dell'implementazione, oppure possono utilizzare una piattaforma di autenticazione creata da esperti di sicurezza".
Sottolinea che l'importanza di ciò non può essere sottovalutata, dato che i criminali informatici sono attivamente alla ricerca di questo tipo di punti deboli.
"Questi sono i tipici vettori di attacco sfruttati", osserva Cohen. “Gli aggressori li usano per causare danni diffusi”.
Aggiunge: “Con l'aumento delle organizzazioni che adottano tecnologie cloud e applicazioni SaaS, l'identità è il nuovo firewall. Se l’autenticazione dell’utente non è ben progettata, non importa quanto sia sicura l’applicazione stessa poiché lascerai la porta d’ingresso aperta agli attacchi informatici”.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- EVM Finance. Interfaccia unificata per la finanza decentralizzata. Accedi qui.
- Quantum Media Group. IR/PR amplificato. Accedi qui.
- PlatoAiStream. Intelligenza dei dati Web3. Conoscenza amplificata. Accedi qui.
- Fonte: https://www.darkreading.com/cloud/azure-ad-log-in-with-microsoft-authentication-bypass-affects-thousands
- :ha
- :È
- :non
- $ SU
- 7
- a
- capacità
- accesso
- Secondo
- Il mio account
- conti
- attivo
- attivamente
- attori
- Ad
- aggiungere
- indirizzo
- Aggiunge
- Adottando
- Dopo shavasana, sedersi in silenzio; saluti;
- Tutti
- consente
- già
- anche
- sempre
- quantità
- an
- .
- ed
- androide
- Un altro
- in qualsiasi
- chiunque
- App
- Applicazioni
- applicazioni
- approcci
- applicazioni
- SONO
- AS
- At
- attacco
- Autenticazione
- autorizzazione
- automaticamente
- disponibile
- evitare
- azzurro
- sfondo
- Vasca
- basato
- BE
- stato
- Meglio
- Big
- riunioni
- Booking.com
- Scatola
- ampiezza
- Insetto
- Costruzione
- costruito
- aziende
- ma
- by
- è venuto
- Materiale
- non può
- Causare
- il cambiamento
- dai un'occhiata
- ha scelto
- CISO
- rivendicare
- Cloud
- codebase
- cohen
- COM
- arrivo
- azienda
- completamente
- complicato
- informatica
- Connettiti
- consulting
- contatti
- di controllo
- Aziende
- potuto
- creato
- critico
- cliente
- esperienza del cliente
- Clienti
- Attacco informatico
- attacchi informatici
- i criminali informatici
- Cybersecurity
- danneggiamento
- dati
- dedicato
- Design
- sviluppato
- Costruttori
- in via di sviluppo
- effettua
- non
- Porta
- giù
- Cadere
- soprannominato
- e-commerce
- fase iniziale
- garantire
- Ambiente
- ambienti
- particolarmente
- stabilire
- esistente
- esperienza
- esperti
- ha spiegato
- Sfruttare
- sfruttamento
- Exploited
- esplora
- esterno
- estremamente
- familiare
- caratteristica
- pochi
- meno
- I risultati
- firewall
- difetto
- flusso
- Nel
- essere trovato
- Contesto
- da
- anteriore
- pieno
- Guadagno
- Generale
- gigante
- dato
- dà
- guida
- cura
- maniglia
- nuocere
- Avere
- he
- Aiuto
- detiene
- Come
- Tuttavia
- HTTPS
- centinaia
- identificatore
- Identità
- if
- impattato
- realizzare
- implementazione
- implementato
- Implementazione
- importanza
- importante
- in
- In altre
- includere
- Aumento
- informazioni
- informati
- esempio
- intento
- interno
- Internet
- ai miglioramenti
- iOS
- problema
- Rilasciato
- IT
- SUO
- stessa
- jpg
- ad appena
- Tasti
- conoscenze
- principale
- Lasciare
- legittimo
- leggera
- piace
- probabile
- ceppo
- cerca
- lotto
- make
- gestire
- gestione
- gestisce
- molti
- Marzo
- Importanza
- Maggio..
- si intende
- Media
- unioni
- fusione
- Microsoft
- Microsoft Azure
- milioni
- Mobile
- mobili-apps
- mensile
- maggior parte
- movimento
- devono obbligatoriamente:
- nativo
- Bisogno
- New
- Note
- OAuth
- oceano
- of
- on
- online
- aprire
- open source
- apre
- Opzioni
- or
- organizzazione
- organizzazioni
- Altro
- Altri
- ancora
- proprio
- Persone
- Eseguire
- persistenza
- cronologia
- Peste
- piattaforma
- Piattaforme
- Platone
- Platone Data Intelligence
- PlatoneDati
- PoC
- Popolare
- Portale
- possibile
- potenziale
- potenzialmente
- precedente
- Problema
- proprietà
- protocolli
- fornitore
- fornitori
- fornitura
- pubblicamente
- Basic
- rilasciato
- rapporto
- richiedere
- ricercatori
- Risorse
- colpevole
- recensioni
- Correre
- s
- SaaS
- Suddetto
- dice
- portata
- sezioni
- sicuro
- problemi di
- servizio
- set
- alcuni
- dovrebbero
- vetrina
- Un'espansione
- semplicemente
- singolo
- sorella
- Seduta
- piccole
- le piccole imprese
- Piccole e medie imprese
- So
- Social
- Social Media
- qualcosa
- Fonte
- Standard
- standard
- Startup
- Passi
- forte
- soggetto
- di successo
- tale
- sistema
- Fai
- preso
- acquisizione
- Tecnologie
- testato
- Testing
- che
- I
- loro
- Li
- poi
- Là.
- Strumenti Bowman per analizzare le seguenti finiture:
- di
- questo
- questa settimana
- migliaia
- a
- negoziate
- di fiducia
- affidabili sul mercato
- seconda
- Tipi di
- tipico
- per
- sottolineature
- capire
- unico
- uso
- utilizzato
- Utente
- utenti
- usa
- utilizzando
- CONVALIDARE
- convalidato
- vario
- Convalida
- molto
- via
- Vittima
- vittime
- visibilità
- Vulnerabile
- volere
- Prima
- Modo..
- we
- debolezza
- sito web
- Sito web
- siti web
- settimana
- WELL
- sono stati
- quando
- quale
- OMS
- molto diffuso
- volere
- con
- parole
- Lavora
- sarebbe
- Tu
- Trasferimento da aeroporto a Sharm
- zefiro