Microsoft corrige falha de autenticação do Azure AD
A Microsoft corrigiu uma falha de autenticação no Azure Active Directory que poderia permitir que invasores escalassem privilégios e potencialmente assumissem total controle da conta de um alvo. A vulnerabilidade afetava aplicações Azure AD OAuth configuradas para usar o e-mail como reivindicação dos tokens de acesso para autorização.
O problema era que o Azure AD não exigia a validação de mudanças de e-mail, permitindo que invasores alterassem o e-mail em suas contas de administrador do Azure AD para o endereço de e-mail da vítima e usassem a funcionalidade “Log in with Microsoft” para autorização na aplicação ou site vulnerável. A Microsoft corrigiu a configuração nOAuth por meio de medidas de mitigação.
A empresa identificou várias aplicações multi-inquilino com usuários que utilizam um endereço de e-mail com um proprietário de domínio não verificado. Para proteger os clientes e aplicações que possam ser vulneráveis a escalonamento de privilégios, a Microsoft implantou medidas de mitigação para omitir reivindicações de token de proprietários de domínio não verificados para a maioria das aplicações.
Fonte: BoletimSec
Publicado em: Cybersegurança