La pericolosa vulnerabilità è stata scoperta da SecureWorks all'inizio di quest'anno.
- Un utente malintenzionato potrebbe semplicemente prendere il controllo di un URL abbandonato e utilizzarlo per ottenere privilegi elevati.
- La vulnerabilità è stata scoperta da SecureWorks, una società di sicurezza informatica.
- Microsoft ha affrontato subito il problema, tuttavia, la dice lunga sul suo livello di sicurezza informatica.
All'inizio di quest'anno, Microsoft Entra ID (che allora era noto come Azure Active Directory) avrebbe potuto essere facilmente violato e compromesso dagli hacker che utilizzavano URL di risposta abbandonati. Un team di ricercatori di SecureWorks ha scoperto questa vulnerabilità e ha allertato Microsoft.
Il colosso tecnologico con sede a Redmond ha risolto rapidamente la vulnerabilità ed entro 24 ore dall’annuncio iniziale ha rimosso l’URL di risposta abbandonato nell’ID Microsoft Entra.
Ora, quasi 6 mesi dopo questa scoperta, il team dietro di essa, scoperto in un post sul blog
, il processo che sta dietro l'infezione degli URL di risposta abbandonati e il loro utilizzo per incendiare Microsoft Entra ID, compromettendolo sostanzialmente.Utilizzando l'URL abbandonato, un utente malintenzionato potrebbe facilmente ottenere privilegi elevati dell'organizzazione utilizzando Microsoft Entra ID. Inutile dire che la vulnerabilità rappresentava un grosso rischio e Microsoft apparentemente non ne era a conoscenza.
Un utente malintenzionato potrebbe sfruttare questo URL abbandonato per reindirizzare i codici di autorizzazione a se stesso, scambiando i codici di autorizzazione ottenuti illecitamente con token di accesso. L'autore della minaccia potrebbe quindi chiamare l'API Power Platform tramite un servizio di livello intermedio e ottenere privilegi elevati.
SecureWorks
Ecco come un utente malintenzionato trarrebbe vantaggio dalla vulnerabilità dell'ID Entra di Microsoft
- L'URL di risposta abbandonato verrebbe scoperto dall'aggressore e dirottato con un collegamento dannoso.
- Una vittima potrebbe quindi accedere a questo collegamento dannoso. Entra ID reindirizzerebbe quindi il sistema della vittima all’URL di risposta, che includerebbe anche il codice di autorizzazione nell’URL.
- Il server dannoso scambia il codice di autorizzazione con il token di accesso.
- Il server dannoso chiama il servizio di livello intermedio utilizzando il token di accesso e l'API prevista e l'ID Microsoft Entra finirebbe per essere compromesso.
Tuttavia, il team responsabile della ricerca ha anche scoperto che un utente malintenzionato potrebbe semplicemente scambiare i codici di autorizzazione con token di accesso senza inoltrare i token al servizio di livello intermedio.
Considerando la facilità con cui un utente malintenzionato sarebbe riuscito a compromettere in modo efficace i server Entra ID, Microsoft ha risolto rapidamente il problema e ha rilasciato un aggiornamento il giorno successivo.
Ma è piuttosto interessante vedere come il colosso tecnologico con sede a Redmond non abbia mai notato questa vulnerabilità. Tuttavia, Microsoft ha una storia di vulnerabilità in qualche modo trascurate.
All'inizio di quest'estate, la società è stata pesantemente criticata da Tenable, un'altra prestigiosa azienda di sicurezza informatica, per non aver risolto un'altra pericolosa vulnerabilità che consentirebbe a entità maligne di accedere alle informazioni bancarie degli utenti Microsoft.
È chiaro che Microsoft deve in qualche modo espandere il proprio dipartimento di sicurezza informatica. Cosa ne pensi?
