Các nhà nghiên cứu cho biết “Một thiếu sót bảo mật trong quy trình Ủy quyền mở (OAuth) của Microsoft Azure Active Directory (AD) có thể đã bị khai thác để đạt được quyền tiếp quản toàn bộ tài khoản.” Dịch vụ quản lý danh tính và truy cập Descope có trụ sở tại California, đã phát hiện và báo cáo vấn đề vào tháng 4/2023, gọi nó là nOAuth.
Omer Cohen, giám đốc bảo mật tại Descope, cho biết “nOAuth là một lỗ hổng triển khai xác thực có thể ảnh hưởng đến các ứng dụng OAuth nhiều bên thuê của Microsoft Azure AD”. Việc cấu hình sai liên quan đến cách tác nhân độc hại có thể sửa đổi các thuộc tính email trong “Thông tin liên hệ” tại tài khoản Azure AD và khai thác tính năng “Đăng nhập bằng Microsoft” để chiếm quyền điều khiển tài khoản nạn nhân.
Để thực hiện cuộc tấn công, kẻ tấn công tạo và truy cập tài khoản quản trị viên Azure AD, sửa đổi địa chỉ email của họ thành địa chỉ email của nạn nhân và tận dụng sơ đồ đăng nhập một lần trên ứng dụng hoặc trang web dễ bị tấn công.
Cohen giải thích: “Nếu ứng dụng hợp nhất tài khoản người dùng mà không cần xác thực, kẻ tấn công hiện có toàn quyền kiểm soát tài khoản của nạn nhân, ngay cả khi nạn nhân không có tài khoản Microsoft”.
Khai thác thành công cấp cho kẻ tấn công cấp một “trường mở” để thiết lập tính bền vững, lọc dữ liệu và thực hiện các hoạt động sau khai thác khác dựa trên bản chất của ứng dụng.
Điều này xuất phát từ thực tế là địa chỉ email có thể thay đổi và chưa được xác minh trong Azure AD, khiến Microsoft đưa ra cảnh báo không sử dụng yêu cầu email cho mục đích ủy quyền.
Microsoft mô tả vấn đề này là “mẫu chống không an toàn được sử dụng trong các ứng dụng Azure AD (AAD), trong đó việc sử dụng yêu cầu email từ mã thông báo truy cập để ủy quyền có thể dẫn đến leo thang đặc quyền. Kẻ tấn công có thể làm sai lệch yêu cầu email trong các token được cấp cho các ứng dụng. Ngoài ra, mối đe dọa rò rỉ dữ liệu tồn tại nếu các ứng dụng sử dụng các tuyên bố như vậy để tra cứu email.”
Để bảo vệ khách hàng và các ứng dụng có thể bị leo thang đặc quyền, Microsoft đã triển khai các biện pháp giảm thiểu để bỏ qua các khiếu nại về mã thông báo từ chủ sở hữu miền chưa được xác minh đối với hầu hết các ứng dụng. Công ty cũng đặc biệt khuyến nghị người dùng nên đánh giá kỹ lưỡng logic kinh doanh ủy quyền ứng dụng của họ và tuân thủ các nguyên tắc này để bảo vệ chống truy cập trái phép.
Ngoài ra, các nhà phát triển được khuyến khích áp dụng các phương pháp hay nhất được đề xuất này để xác thực mã thông báo khi sử dụng nền tảng nhận dạng của Microsoft.