该漏洞影响微软应用程序使用OAuth进行身份验证的方式,这些应用程序信任某些未被微软注册的第三方域和子域。
来自Cyberark的专家发现了以下三个易受攻击的微软应用程序,它们信任这些未注册的域名组合:O365安全评分、微软服务信任。
"这个漏洞的攻击面非常广,其影响可能非常强大。CyberArk发布的这份分析报告称,"只要点击或访问一个网站,受害者就会经历敏感数据被盗、生产服务器受损、数据丢失、数据操纵、组织所有数据被勒索软件加密等等。"
在Microsoft实施的OAuth授权流程中,Microsoft应用程序用户可以从Microsoft批准的白名单URL请求访问以进行登录。
第三方网站或应用程序的所有者将收到一个具有特定权限的令牌,允许它代表令牌所有者行事。
专家们注意到,微软之前并没有在Azure门户上注册一些被微软白名单上的url。研究人员注意到,微软本地应用程序"信任"的web API url以"。cloudapp.net"、"。azurewebsites.net"和"。{vm_region}.cloudapp.azure.com"结尾,但他们注意到至少有54个具有这些特征的子域没有在Azure门户中注册。
攻击者可以接管这些域,然后注册它们,通过这种方式,默认情况下它们将被批准,并且可以请求用户的"access_token",并代表具有权限的用户进行操作。
"具有"user_impersonation"特权的代表" https://graph.windows.net " 的特权用户请求令牌的攻击者–每个应用程序都将获得默认特权(如果未另行定义)–可以向API端点执行请求,包括重置密码对于AD中的其他用户,将成员添加到目录角色或将用户添加到组(取决于受害者的特权)。您可以看到此处记录了更多的API调用 。"继续进行分析。
"此漏洞使您更容易进行妥协特权 用户–无论是通过简单的社交工程技术还是通过感染特权用户偶尔访问的网站。"
专家们发布了攻击的概念验证(PoC),展示了攻击者如何为Microsoft OAuth身份验证过程创建精心设计的链接。研究人员使用三个参数组成了该链接:application_id参数必须匹配易受攻击的OAuth应用程序,redirect_uri参数必须是白名单域,而资源参数必须是攻击者希望代表用户访问的所需资源。
攻击者可以将iframe标签嵌入到网站中,并将" src"属性设置为特制链接,然后诱骗受害者访问它。一旦受害者访问了网站,受害者的浏览器将呈现iframe 和 微软在线[。]com 将受害者重定向到攻击者的域,并自动授予访问令牌。
攻击者在域中安装了Javascript,该Javascript使用被盗的访问令牌发送API请求。
漏洞时间表如下:
- 19/10/29 –发现漏洞
- 19/10/30 –向Microsoft报告了漏洞
- 19/10/10 –微软关闭了该报告 –?!?
- 19/07/11 –漏洞再次报告给Microsoft
- 19/08/11 –案件开庭
- 19/12/11 – Microsoft与我联系以获取更多信息
- 19/11/20 –修复了漏洞
报告总结说:"尽管OAuth 2.0是出色的授权解决方案,但如果滥用或配置不当,可能会产生巨大影响,从而允许过度特权的第三方应用程序或最终被恶意攻击者接管。"
"为减轻风险并防止这些漏洞,您可以执行以下操作:
- 确保在应用程序中配置的所有受信任的重定向URI都归您所有。
- 删除不必要的重定向URI。
- 确保OAuth应用程序要求的权限 是 它需要的特权最少的一个。
- 禁用未使用的应用程序。"
6041
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
