Una vulnerabilidad crítica en Microsoft Entra ID permite a los atacantes aumentar los privilegios al papel de administrador global a través de la explotación de aplicaciones de primera parte.
La vulnerabilidad, reportada al Centro de Respuesta de Seguridad de Microsoft (MSRC) en enero de 2025, afecta a las organizaciones que utilizan entornos híbridos de directorio activo con dominios federados.
Control de llave
1. Los atacantes con ciertos permisos de administrador o aplicación pueden secuestrar al principal del servicio en línea de Office 365 Exchange.
2. Los atacantes usan el dominio. Readwrite. Todo para agregar un dominio federado malicioso y forjar tokens Saml.
3. Microsoft clasificó este riesgo como “comportamiento esperado”.
Vulnerabilidad de ID de Microsoft Entra
Investigadores de seguridad en Datadog descubierto que los directores de servicio (SPS) asignaron el rol del administrador de la aplicación en la nube, el rol del administrador de la aplicación o la aplicación. Readwrite. Todos los permisos pueden aumentar sus privilegios secuestrando el principal servicio de servicio Office 365 en línea (ID del cliente: 00000002-0000-0FF1-CE00-000000000000).
La vulnerabilidad funciona explotando el dominio SP de Office 365 Exchange Online SP.
Los atacantes pueden forjar tokens SAML como cualquier usuario de inquilino híbrido sincronizado entre Active Directory (AD) y ID de Entra, incluidos los usuarios con privilegios de administrador global.
Backdooring SPS
El ataque aprovecha el flujo de subvenciones de las credenciales del cliente para la autenticación:
Técnica de puerta trasera de dominio federado
La escalada de privilegios sigue un proceso de cinco pasos que involucra la manipulación del dominio federado.
Los atacantes primero agregan un dominio malicioso utilizando el punto final de la API de Microsoft Graph Post /v1.0/Domains, luego verifíquelo a través de los registros DNS.
El paso crítico implica la configuración de la configuración de la federación a través de Post /v1.0/Domains/{Domain’/federationConfiguration con un certificado malicioso:
El dominio malicioso aparece como federado en entra id
Esta configuración permite a los atacantes forjar tokens SAML con reclamos de MFA, evitando los requisitos de autenticación de múltiples factores mientras mantienen la aparición de autenticación legítima en registros de inicio de sesión.
Iniciar sesión como administrador global con token SAML forjado
Respuesta de Microsoft
Datadog informó esta vulnerabilidad al Centro de Respuesta de Seguridad de Microsoft (MSRC) el 14 de enero de 2025, iniciando un proceso de divulgación de meses de duración.
Sin embargo, el 14 de mayo de 2025, MSRC concluyó que esto “no es una vulnerabilidad de seguridad sino un comportamiento esperado del rol de administrador de la aplicación y sus permisos asociados”.
La respuesta de Microsoft enfatizó que el escenario refleja la configuración errónea en lugar de un bypass de seguridad, indicando que los roles de administrador de aplicaciones inherentemente incluyen la capacidad de administrar las credenciales de aplicaciones y hacerse pasar por identidades de aplicaciones.
Aumentar la detección, reducir la fatiga de alerta, acelerar la respuesta; Todo con una caja de arena interactiva construida para equipos de seguridad -> Prueba cualquiera.
