Azure AD tem vulnerabilidade grave, alerta Microsoft

O problema foi corrigido mas é grave, com CVSS de 8,1
Da Redação
18/11/2021
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

A Microsoft publicou ontem um alerta para seus clientes sobre uma vulnerabilidade que permite a divulgação de informações no Azure Active Directory (AD). O problema foi corrigido mas é grave, com CVSS de 8,1. O problema está registrado como CVE-2021-42306 e existe devido à maneira pela qual são criadas as credenciais “Executar como” da Conta de Automação, quando uma nova Conta de Automação é configurada no Azure.

Devido a uma configuração incorreta no Azure, as credenciais “Executar como” da Conta de Automação (certificados PFX) acabaram sendo armazenadas em texto não criptografado no Azure AD e podiam ser acessadas por qualquer pessoa com acesso às informações nos Registros de Aplicativos. Um invasor pode usar essas credenciais para se autenticar como o registro do aplicativo.

Veja isso
Microsoft corrige falha em app secreto da Azure
Duas falhas no Azure App Services reparadas pela Microsoft

Pesquisadores de segurança da empresa de pentest NetSPI, que identificou a vulnerabilidade, explicam que um invasor pode aproveitar o bug para escalar privilégios para Contribuidor de qualquer assinatura que tenha uma Conta de Automação e acessar recursos nas assinaturas afetadas.

“Isso inclui credenciais armazenadas em cofres de chaves e quaisquer informações confidenciais armazenadas nos serviços do Azure usados na assinatura. Ou pior, eles podem desabilitar ou excluir recursos e colocar locatários inteiros do Azure offline ”, explicam os pesquisadores.

Com informações da assessoria de imprensa

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

ATENÇÃO: INCLUA [email protected] NOS CONTATOS DE EMAIL

(para a newsletter não cair no SPAM)