As organizações que implementaram o recurso “Login with Microsoft ” (fazer login com a Microsoft) em seus ambientes do Azure Active Directory podem estar vulneráveis a um desvio de autenticação que abre a porta para invasões de contas online e na nuvem. De acordo com pesquisadores da Descope, que apelidaram o ataque de “nOAuth”, o problema é uma falha de implementação de autenticação que afeta aplicativos OAuth (autorização aberta) multitenant no Azure AD, o serviço de gerenciamento de identidade e acesso baseado em nuvem da Microsoft. Um ataque bem-sucedido dá a um invasor a possibilidade de execução completa das contas da vítima, com a capacidade de estabelecer persistência, exfiltrar dados, explorar se o movimento lateral é possível e assim por diante.
“OAuth e OpenID Connect são padrões abertos e populares que milhões de propriedades da web já usam”, disse Omer Cohen, CISO da Descope. “Se recurso ‘Login with Microsoft’ for implementado incorretamente, vários desses aplicativos podem ficar vulneráveis ao controle de contas. Pequenas empresas com menos recursos de desenvolvedor podem ser especialmente afetadas.”
O OAuth é uma estrutura de autorização aberta baseada em token que permite que os usuários façam login em aplicativos automaticamente, com base na autenticação anterior em outro aplicativo confiável. Isso é familiar para a maioria das pessoas nas opções “Login with Facebook’ ou ‘Login with Google’ disponíveis em muitos sites de comércio eletrônico.
No ambiente do Azure AD, o OAuth é usado para ajudar a gerenciar o acesso do usuário a recursos externos, como o Microsoft 365, o portal do Azure e milhares de outros aplicativos SaaS usando aplicativos OAuth. “O Azure Active Directory também gerencia recursos internos, como aplicativos na intranet corporativa e quaisquer aplicativos em nuvem desenvolvidos pela própria organização, fornecendo autenticações via OAuth, OIDC e outros protocolos padrão”, de acordo com a análise da Descope. Em outras palavras, ele contém as chaves para muitos dados corporativos importantes.
A fraqueza permite que invasores executem spoofing entre plataformas simplesmente usando o endereço de e-mail de uma vítima involuntária para se passar por ela, de acordo com a análise da Descope sobre o assunto, divulgada nesta semana.
“Nas implementações usuais de OAuth e OpenID Connect, o endereço de e-mail do usuário é usado como identificador exclusivo pelos aplicativos”, explicaram os pesquisadores da Descope. “No entanto, no Microsoft Azure AD, a declaração ‘e-mail’ retornada é mutável e não verificada, portanto, não é confiável.”
Isso significa que qualquer pessoa com intenção maliciosa e uma quantidade razoável de conhecimento da plataforma pode simplesmente configurar uma conta do Azure AD e alterar arbitrariamente o atributo de e-mail em “Contact Information” (informações de contato) nessa conta para controlar a reivindicação de autenticação de e-mail.
Veja isso
Microsoft diz que quedas do Azure e Outlook foram ciberataques
Hackers usam console do Azure para acesso a máquinas virtuais
Isso permite que o invasor use ‘Login with Microsoft’ com o endereço de e-mail de qualquer vítima que deseja representar”, explicaram os pesquisadores. “Eles podem assumir as contas das vítimas em qualquer aplicativo que use a reivindicação de ‘e-mail’ como identificador exclusivo do Microsoft OAuth e não valide esse endereço de e-mail, ignorando completamente a autenticação”.
Para entender melhor o escopo do problema, os pesquisadores do Descope criaram uma exploração de prova de conceito (PoC) nOAuth e a testaram “com um ataque a centenas de sites e aplicativos, com a permissão de seus proprietários, para verificar se algum deles era vulnerável”. Eles descobriram que alguns deles eram. Entre os alvos estavam um aplicativo de design com milhões de usuários mensais, uma empresa de experiência do cliente de capital aberto, um provedor líder de consultoria multicloud, bem como várias pequenas e médias empresas (PMEs) e startups em estágio inicial.
As descobertas, de acordo com os pesquisadores, “são uma gota no oceano da internet” e provavelmente há muitos, muitos milhares de outros usuários que podem ser afetados.