Vulnerabilidade do Microsoft Entra ID (Azure AD) permite que invasores obtenham acesso de administrador global.
Pesquisadores de segurança descobriram vulnerabilidades no Entra ID da Microsoft (antigo Azure Active Directory) apelidado de “UnOAuthorized”, o que pode permitir ações não autorizadas além dos controles esperados.
As descobertas, centradas nas permissões de escopo do OAuth 2.0, podem ter permitido que invasores elevassem privilégios e persistissem em ambientes da Microsoft.
A descoberta mais alarmante envolveu a capacidade de adicionar e remover usuários de funções privilegiadas, incluindo a função de Administrador Global, o nível mais alto de acesso no Entra ID.
Se explorada, essa vulnerabilidade poderia permitir que agentes de ameaças realizassem escalonamento de privilégios e movimentação lateral entre o Microsoft 365, o Azure e aplicativos SaaS conectados.
A descoberta exigiu que o iniciador tivesse a função Application Administrator ou Cloud Application Administrator no Entra ID. Apesar de seu status privilegiado, essas funções geralmente não são tratadas com as precauções de segurança necessárias, tornando-as alvos atraentes para invasores.
Download Free Cybersecurity Planning Checklist for SME Leaders (PDF) – Free Download
Vulnerabilidade de ID de entrada da Microsoft não autorizada
De acordo com a equipe de pesquisa da Semperis, a vulnerabilidade foi descoberta no escopo OAuth 2.0 (permissões) do Entra ID, o que permitiu que invasores realizassem ações além dos controles de autorização esperados. A descoberta mais preocupante envolveu a capacidade de adicionar e remover usuários de funções privilegiadas, incluindo a função Global Administrator.
A equipe de pesquisa descobriu que determinados principais serviços de aplicativos da Microsoft tinham permissão para executar determinadas ações que não estavam definidas na lista de permissões autorizadas.
Isso permitiu que invasores realizassem ações privilegiadas, como adicionar um usuário à função de Administrador Global, sem parecer ter permissão para isso.
A vulnerabilidade foi descoberta em vários aplicativos da Microsoft, incluindo Viva Engage (Yammer), Microsoft Rights Management Service e Device Registration Service. O MSRC classificou a descoberta do Device Registration Service como uma vulnerabilidade de gravidade importante, pois permitiu que invasores modificassem a associação de funções privilegiadas, incluindo a função Global Administrator.
“No Entra ID, os clientes podem atribuir credenciais à maioria dos principais serviços de aplicativos da Microsoft. Usamos isso para atribuir uma credencial ao Device Registration Service, permitindo-nos acessar o Microsoft Graph como esse serviço.” Os pesquisadores da Semperis disseram .
Elevando privilégios por meio de aplicativos da Microsoft
A pesquisa descobriu que entidades específicas de serviços de aplicativos da Microsoft podem executar ações privilegiadas sem ter permissões explicitamente autorizadas para o seguinte.
Adicionar um usuário à função de Administrador Global como Serviço de Registro de Dispositivos.
Escopos vazios (permissões) para o Serviço de Registro de Dispositivos.
Resultados do log de auditoria do Entra ID mostrando gerenciamento de função bem-sucedido.
Embora ainda não esteja claro se alguma organização foi comprometida por essas vulnerabilidades, o impacto potencial foi extenso. Os invasores podem ter usado o acesso para instalar ameaças persistentes ou manipular atribuições de funções sem serem detectados.
As organizações são aconselhadas a examinar seus logs de auditoria do Entra ID e verificar se há credenciais suspeitas nos principais serviços, especialmente aqueles associados ao Serviço de Registro de Dispositivos.
Ao descobrir essas vulnerabilidades, a Semperis imediatamente relatou as descobertas ao Microsoft Security Response Center (MSRC).
Desde então, a Microsoft implementou controles adicionais para restringir o uso de credenciais em entidades de serviço, reduzindo significativamente o risco de acesso não autorizado.
Para mitigar riscos, as organizações devem tratar os administradores de aplicativos e administradores de aplicativos em nuvem com o mesmo nível de segurança dos administradores globais.
A implementação de práticas recomendadas, como separação de privilégios, estações de trabalho com acesso privilegiado e autenticação forte e resistente a phishing, é crucial
As descobertas ressaltam a importância do monitoramento contínuo e de práticas de segurança robustas na proteção de ambientes digitais. A Semperis e a Microsoft continuam a aprimorar as medidas de segurança para proteger os usuários de ameaças emergentes.
Fonte: CybersecurityNews
Veja também:
- Usando 1Password no Mac? Aplique o patch urgente
- Qual é a diferença entre monitoramento e observabilidade?
- Riscos de ataques cibernéticos podem diminuir
- Febraban oferece curso gratuito em tecnologia e cibersegurança
- Crescem ferramentas maliciosas baseadas em IA
- Precisamos falar sobre a tecnologia obsoleta em cibersegurança
- Pedido de resgate de dados atinge grandes corporações
- I.A. e os desafios dos Sistemas Liveness
- Segundo país mais visado por Cibercriminosos
- Líderes de TI afirmam que a gravidade dos ataques aumentaram
- O que o jurídicos precisam saber sobre ataques de ransomware
- Data Threat Report 2024: Cenário de Segurança de Dados
Deixe sua opinião!