Pesquisadores alertam usuários do Azure Active Directory a monitorar URLs de resposta abandonados após descobriram uma vulnerabilidade crítica no Microsoft Power Platform
Pesquisadores de segurança da Secureworks estão alertando usuários do Azure Active Directory (AD) a monitorar URLs (endereços de internet) de resposta abandonados após descobriram uma vulnerabilidade crítica no Microsoft Power Platform. A empresa disse que descobriu o bug de controle de URL de resposta no início de abril e que foi corrigido pela Microsoft em 24 horas.
Mais especificamente, os pesquisadores encontraram um endereço URL de resposta abandonado em um aplicativo Azure AD relacionado ao Power Platform de baixo código. Os invasores poderiam usar a URL para redirecionar códigos de autorização para si próprios, trocando-os por tokens de acesso. “O operador da ameaça poderia então chamar a API do Power Platform por meio de um serviço de nível intermediário e obter privilégios elevados”, disse a Secureworks.
“A API do Power Platform permite que os usuários gerenciem ambientes, alterem configurações de ambiente e consultem o consumo de capacidade. Como resultado, é o principal alvo dos agentes de ameaças que buscam acesso privilegiado”, escreveram os pesquisadores da empresa. “Demonstramos acesso privilegiado na API do Power Platform elevando os privilégios de uma entidade de serviço existente. O objetivo não era abusar ainda mais desse acesso privilegiado, mas demonstrar que ações privilegiadas, como elevar aplicativos e excluir ambientes, são possíveis devido ao acesso obtido por meio do serviço de camada intermediária.”
Os invasores que entendem como funciona a API de administração do Power Platform provavelmente poderão desenvolver cenários de ataque adicionais, alertou a Secureworks.No final, a Microsoft corrigiu rapidamente o bug removendo o URL de resposta abandonado em questão do aplicativo Azure AD. No entanto, a Secureworks alertou os administradores de segurança a ficarem atentos aos URLs de resposta de seus aplicativos Azure AD para evitar um cenário de ataque como o descrito acima.
FONTE: CISO ADVISOR