Погрешно конфигурирање на Azure Active Directory овозможува потенцијални напаѓачи да компромитираат повеќе апликации на Microsoft, вклучувајќи го и интернет пребарувачот Bing.
Што е Azure Active Directory?
Azure Active Directory е систем во Microsoft Azure кој овозможува управување и конфигурирање на пристапот на различни корисници, групи, и апликации на различни платформи во облакот. Системот поддржува single-tenant и multi-tenant апликации.Single-tenant е архитектура во која една инстанца на софтверска апликација и нејзината придружна инфраструктура му служи на еден клиент.
Multi-tenant е архитектура кај која иста инстанца на софтверот работи на серверот и опслуижува повеќе корисници. Во овој случај повеќе корисници се приклучени на истиот хардвер и складиште на податоци, и се креира посебна инстанца за секој корисник.
Multi-tenant апликациите се корисни кога компанијата сака да сподели услуги со клиенти или со некој од своите партнери. За жал „жртва“ на оваа архитектура е безбедноста. Постојат повеќе опасности за безбедносни пропусти, и неопходна е внимателна авторизација за да се обезбеди дека пристапот до апликациите ќе биде достапен единствено за оние за кои е наменет.
Безбедносните експерти открија дека дури и Microsoft има проблеми со правилно конфигурирање на сите AAD за сите апликации. Откриени се пропусти кај повеќе multi-tenant интерни апликаци, вклучувајќи го и порталот за управување со Bing. Погрешното конфигурирање овозможило секој кој има Azure профил да може да пристапи и да управува со апликациите.
Погрешна конфигурација овозможува манипулации и на Bing
Првата апликација со погрешно конфигуриран Azure Active Directory која ја забележаа Wiz Research е на доменот bingtrivia.azurewebsites.net. Експертите креирале нов профил Wiz Research и со него се обиделе да се логираат на Bing Trivia. Изненадувачки тимот успеал да дојде до пристап и пред нив бил отворен CMS-от нa Bing.
На почетокот истражувачите не ни сфатиле дека имаат пристап до содржината на Bing. Со оглед на името на апликацијата помислите дека имаат пристап до „trivia“-содржини. Наскоро забележале дека CMS-от им овозможува пристап до „сликата на денот“, различни квизови и слично. За да се уверат дека навистина можат да ги менуваат резултатите пробале со мала промена.
За да ја потврдиме нашата способност да ги контролираме резултатите од пребарувањето на Bing, во CMS избравме carousel и малку ја изменивме неговата содржина. Сакавме да направиме минимална промена, која лесно ќе може да ја вратиме. Го избравме пребарувањето за „најдобра музика во филм“, кое презенитра список на високо препорачана филмска музика; потоа ја променивме првата ставка, од „Dune (2021)“ во нашиот личен фаворит, „Hackers (1995)“ и го зачувавме нашето уредување.
По оваа промена музиката од „Hackers“ веднаш се појавила на првото место во резултатите од пребарувањето.
Промените не завршиле со резултатите од пребарувањето. Wiz Research успеале да ги променат и информациите кои се прикажуваат на главната страница на Bing.
XSS напади
Пропустите не се наивни ни со самото менување на содржината на Bing. Дел од апликациите им овозможиле да ги променат резултатите на пребарувањата и ако сакаат да објавуваат лажни вести, да постават линкови да малициозни страници или да постават сопствени реклами, но пропустите им овозможуваат и да ги нападнат корисниците на страниците.
Лошата конфигурација им овозможуваат да го преземат JWT-токенот за пристап до Office 365 API-то на корисникот. Безбедносните експерти со едноставна скрипта успеале да ја покажат опасноста за корисниците. Нападот е тестиран на нивниот профил, но е доволно за да покаже дека потенцијалните напаѓачи можат да дојдат до голем сет на податоци од Office 365 корисниците.
Дел од овие податоци се електронска пошта, календар, пораки од Teams, SharePoint документи и фајлови од OneDrive.
Bing е една од најпопуларните страници, и во месецот има неколку милијарди посети. Пропустот е сериозен за сите корисници на Bing. Жртвите се подложни на фишинг напади, малициозен софтвер, кражба на идентитет или финансиски измами. Дополнително, може да ја загрози приватноста и безбедноста на податоците на Microsoft. Bing има пристап до чувствителни информации како кориснички профили, историја на пребарување, податоци за локација и колачиња.
Други апликации со истиот пропуст
Пребарувачот веројатно е најпрепознатливата апликација со погрешна конфигурација на AAD, но секако не е единствена. Wiz Researchers открија пропусти на повеќе локации.
Погрешна конфигурација има на Mag News – контролен панел кој се користи за MSN е-билтенот. Пропустот овозможува потенцијалниот напаѓач да испраќа имејл пораки до корисниците од адреса во која корисниците имаат доверба.
CNS API е сервис на нотификации на Microsoft кој овозможува испраќање на интерни пораки до девелоперите на Microsoft.
Пропуст има и во контакт центарот кој ги контролира агентите за повиците до грижата на корисници на Microsoft.
PoliCheck е интерна алатка која проверува кои се забранети зборови во кодот на Microsoft. PoliCheck е база со навредливи зборови, навреди, вулгарности. Базата има податоци за над 100 јазици.
Power Automate Blog има пропуст во WordPress админ панелот. Пропустот овозможува објавување и уредување на HTML содржина на powerautomate.microsoft.com блогот на Microsoft.com.
Пропустот во системот за управување со фајлови COSMOS овозможува листање, читање и уредување на фајловите од апликацијата. Системот се користи за работа со фајлови кои заземаат вкупен простор од 4 ексабајти.
Брза реакција на Microsoft
Microsoft имаше брза реакција откако Wiz Research го пријавија пропустот. Компанијата за 24 часа го ограничи пристапот до Bing. Wiz Research доби награда од 40 000 долари, но компанијата најави дека ќе ги донира парите. Од 20-ти март Microsoft објави дека сите пријавени пропусти се затворени.
Веројатно најважниот заклучок од оваа „приказна“ е потребата од внимателно ограничување на пристапот на корисниците за AAD multi-tenant апликациите. Пристап до нив треба да имаат единствено авторизирани корисници. Сите корисници на multi-tenant може да имаат лошо конфигуриран AAD.
Наједноставен начин за проверка дали апликацијата има проблем е користење на профил од друга „tenant“-апликација за логирање. Ако ова е успешно, тогаш постои проблем. Проблемот најлесно се надминува со промена на авторизацијата на „single-tenant“, што секако не може да се направи ако постои потреба од „multi-tenancy“.
Во случаи во кои не може да се користи „single-tenant“ логирање, треба да се користи „user assignment“ или „политика за условен пристап“.
Друго решение е имплементирање на логика за авторизација преку проверка на токени во апликацијата.
Лоша вест е дека AAD логовите не се доволни за да се открие неовластен пристап. Корисниците треба да го погледнат апликациските логови и да ги пронајдат сите сомнителни логирања.
Стани премиум член и доби пристап до сите содржини, специјален попуст на над 2.200 производи во ИТ маркет, верификуван профил и можност за огласување на ИТ Огласник. Плус ќе го поддржиш медиумот кој го градиме цели 16 години!
Доколку веќе имаш премиум членство, најави се тука.
