4 dic. 2019

Vulnerabilidad permitía tomar control de cuentas de Azure

Investigadores de CyberArk descubrieron una vulnerabilidad crítica en Microsoft Azure llamada BlackDirect" que permitía a los atacantes tomar el control de las cuentas de los usuario de Azure y crear el token con los permisos de la víctima.

La vulnerabilidad afectaba específicamente a las aplicaciones OAuth 2.0 de Microsoft que permiten el acceso de atacantes maliciosos y controlan la cuenta de una víctima

OAuth es un protocolo de autorización que se usa comúnmente como una forma para que los usuarios finales otorguen a los sitios web o aplicaciones acceso a su información desde otros sitios web sin entregar contraseñas al sitio web o la aplicación. OAuth2 permite que aplicaciones de terceros otorguen acceso limitado a un servicio HTTP y el acceso a los clientes puede ser un sitio web o una aplicación móvil.

Las aplicaciones de OAuth confían en los dominios y subdominios que no están registrados en nombre de Microsoft, y cualquiera puede registrarlos. De manera predeterminada, OAuth aprobaba la solicitud de la aplicación requerida a través del "access_token".

Los investigadores descubrieron que la combinación de estos dos factores hace posible producir acciones con los permisos del usuario, incluida la obtención de acceso a recursos de Azure y recursos de AD.

"La superficie de ataque de esta vulnerabilidad es muy amplia y su impacto puede ser muy poderoso. Al hacer nada más que un clic o visitar un sitio web, la víctima puede experimentar el robo de datos confidenciales, servidores de producción comprometidos, datos perdidos, manipulación de datos, cifrado de todos los datos de la organización con ransomware y más".

Explotación de la vulnerabilidad BlackDirect

Para aprovechar la vulnerabilidad, los investigadores inicialmente enumeraron todos los principales de servicio en su cuenta utilizando el comando "Get-AzureADServicePrincipal".

Más tarde encontraron la URL permitida por la aplicación de Microsoft, en la que algunas de las URL terminan con ".cloudapp.net", ".azurewebsites.net" y. {Vm_region} .cloudapp.azure.com", todas estas URL registradas a través del portal de Microsoft Azure.

Omer Tsarfati de CyberArk dijo: "Para asegurarme de que ningún atacante real pudiera explotar esta vulnerabilidad, registré todos los subdominios que aún no estaban registrados, 54 de ellos. Dicho esto, puede haber más subdominios que no están listados".

"Esta vulnerabilidad hace que sea mucho más fácil comprometer a los usuarios privilegiados, ya sea a través de técnicas simples de ingeniería social o al infectar un sitio web al que los usuarios privilegiados acceden ocasionalmente. Como resultado, el atacante comprometerá todo el dominio y el entorno Azure de la organización".

Se han publicado los detalles técnicos, un video y un servicio que comprueba si un dominio es vulnerable.

La vulnerabilidad ya ha sido corregida por Microsoft.

Fuente: gbHackers

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!