Ha surgido una vulnerabilidad de seguridad crítica en las configuraciones de Azure Active Directory (Azure AD) que expone credenciales de aplicación confidenciales, proporcionando a los atacantes acceso sin precedentes a entornos en la nube.
Esta vulnerabilidad se centra en la exposición de los archivos appSettings.json que contienen credenciales de ClientID y ClientRet, entregando efectivamente a los adversarios las claves para los inquilinos completos de Microsoft 365.
La vulnerabilidad se identificó durante las evaluaciones recientes de ciberseguridad, donde las credenciales de aplicación de anuncios de Azure se descubrieron en archivos de configuración de acceso público.
Control de llave
1. Los secretos de anuncios de Azure expuestos en los archivos de configuración permiten a los atacantes hacerse pasar por aplicaciones.
2. Habilita el robo de datos de Microsoft 365 y la implementación de aplicaciones maliciosas.
3. Evite los controles de seguridad y puede comprometer a los inquilinos de la nube enteros.
Esta exposición permite a los actores de amenaza autenticarse directamente contra los puntos finales OAuth 2.0 de Microsoft, disfrazarse de aplicaciones confiables y obtener acceso no autorizado a datos organizacionales confidenciales.
Exploit de flujo de credenciales del cliente
La resolución informa que el vector de ataque explota el flujo de credenciales del cliente en OAuth 2.0, donde los atacantes aprovechan las credenciales expuestas para generar tokens de acceso válidos.
Usando el clientid filtrado y el cliente, los actores maliciosos pueden ejecutar solicitudes de publicación HTTP al punto final de token de Azure:
Una vez autenticados, los atacantes pueden acceder a la API de Microsoft Graph para enumerar usuarios, grupos y roles de directorio.
Enumerar usuarios
La vulnerabilidad se vuelve particularmente peligrosa cuando las solicitudes se les ha otorgado permisos excesivos como Directory.Read.alt o Mail.Read, lo que permite la cosecha integral de datos en SharePoint, OneDrive e intercambia en línea.
El archivo expuesto AppSettings.json generalmente contiene parámetros críticos de configuración de anuncios de Azure, incluida la URL de instancia (https://login.microsoftonline.com/), inquilino para la identificación del directorio, redirecture para el manejo de devolución de llamada y, lo más crítico, el producto de los clientes que sirve como la contraseña de autenticación de la aplicación.
Esta vulnerabilidad permite múltiples escenarios de ataque que plantean riesgos significativos para la seguridad organizacional.
Los atacantes pueden realizar un reconocimiento integral consultando puntos finales de Microsoft Graph para mapear estructuras organizacionales, identificar cuentas de alto privilegio y ubicar repositorios de datos confidenciales, lee el informe.
La capacidad de enumerar OAuth2PermissionGrants revela qué aplicaciones tienen acceso a qué recursos, proporcionando a los atacantes una hoja de ruta para una mayor explotación.
Más preocupante es el potencial de suplantación de la aplicación, donde los actores de amenaza pueden implementar aplicaciones maliciosas bajo el inquilino comprometido.
Utilizando la identidad de la aplicación legítima, los atacantes pueden solicitar permisos adicionales, potencialmente aumentados del acceso de lectura limitado al control administrativo completo.
Esta técnica evita los controles de seguridad tradicionales porque las solicitudes parecen originarse en aplicaciones confiables y preaprobadas.
La vulnerabilidad también permite el movimiento lateral a través de los recursos de la nube. Suponga que el archivo de configuración expuesto contiene secretos adicionales, como claves de cuenta de almacenamiento o cadenas de conexión de base de datos. En ese caso, los atacantes pueden acceder directamente a los datos de producción, modificar la información comercial crítica o establecer los posibles traseros persistentes dentro de la infraestructura en la nube.
Las organizaciones enfrentan graves implicaciones de cumplimiento, ya que el acceso no autorizado a los datos del usuario puede desencadenar violaciones de GDPR, HIPAA o SOX.
Esta vulnerabilidad de anuncios de Azure subraya la importancia crítica de la gestión adecuada de los secretos en entornos en la nube.
Las organizaciones deben auditar inmediatamente sus archivos de configuración, implementar soluciones de almacenamiento de credenciales seguras como Azure Key Vault y establecer el monitoreo de patrones de autenticación sospechosos.
Las consecuencias de las credenciales de aplicación expuestas se extienden mucho más allá de las infracciones de datos simples, lo que puede comprometer los ecosistemas de la nube enteros y permitir ataques sofisticados a largo plazo que pueden permanecer sin detectar durante meses.
¡Encuentra esta historia interesante! Séguenos Google News, LinkedIny incógnita Para obtener más actualizaciones instantáneas.
.webp?w=1600&resize=1600,900&ssl=1){kind=link}