- Forschende haben nachgewiesen, dass sich mithilfe des Zustimmungs- und Berechtigungsdelegationsprozesses von Entra OAuth ein Zugriff auf interne Microsoft-Anwendungen erzielen lässt.
- Diese Schwachstelle ist eine neue Bedrohung für den Schutz interner Systeme und zeigt auf, dass externe Nutzer einen Zugriffspfad auf interne Dienste schaffen können.
- Das grundlegende Zustimmungsmodell und unzureichende Berechtigungseinstellungen sind die Hauptursachen.
- Die Studie ergab, dass bestehende Sicherheitskontrollen weiterhin anfällig sind, wenn es um OAuth-Zustimmungsanfragen und Zugriffssteuerung geht.
- Unternehmen und Organisationen erkennen die Notwendigkeit, OAuth-Zustimmung und Berechtigungsverwaltung zu stärken.
Forschungsübersicht und Hintergrund
- Microsoft Entra OAuth ist ein Authentifizierungs-/Autorisierungssystem, bei dem verschiedene Anwendungen mit Zustimmung der Nutzer Zugriff auf unterschiedliche Dienste erhalten.
- Die Forschenden fanden heraus, dass in Zielumgebungen intern zugängliche Microsoft-Anwendungen auch von außen erreichbar werden können, wenn ein bestimmtes Szenario zur Zustimmung und Berechtigungsdelegation ausgenutzt wird.
Ursachenanalyse
- Die Schwachstelle entsteht durch Missbrauch des Prozesses der OAuth-Zustimmungsanfrage.
- Wenn eine Anwendung nicht korrekt eingeschränkt ist, kann ein Angreifer durch das Erzwingen der Benutzereinwilligung ein internes Ressourcentoken erlangen.
- Der standardmäßig bereitgestellte Zustimmungs- und Berechtigungsmechanismus ist nicht ausreichend fein granular, sodass einige interne Dienste ein Risiko der externen Offenlegung tragen.
Auswirkungen und Risiken
- Ein bösartiger Nutzer kann diese Schwachstelle nutzen, um auf interne Microsoft-Systeme und Anwendungen zuzugreifen.
- Bei Erfolg besteht das Risiko der Ablieferung sensibler Daten oder eines Missbrauchs interner Funktionen.
Maßnahmen und Empfehlungen
- Organisationen sollten ihr OAuth-Verwaltungssystem neu bewerten und alle Prozesse für Zustimmung und Rechtezuweisung streng kontrollieren.
- Basierend auf dem Prinzip der geringsten Berechtigungen ist es erforderlich, den beantragten Ressourcen- und Berechtigungsumfang klar zu begrenzen.
- Es ist erforderlich, regelmäßig ein OAuth-Anwendungs-Audit und Prozesse zur Zustimmungskontrolle einzurichten, um die Verwaltung zu verstärken.
Noch keine Kommentare.