0
0
As organizações que implementaram o recurso “Entrar com a Microsoft” em seus ambientes do Active Directory do Microsoft Azure podem estar potencialmente vulneráveis a um desvio de autenticação que abre as portas para aquisições de contas online e na nuvem.
De acordo com pesquisadores da Descope, que apelidaram o ataque de “nOAuth”, o problema é uma falha de implementação de autenticação que afeta aplicativos OAuth multilocatários no Azure AD, o serviço de gerenciamento de identidade e acesso baseado em nuvem da Microsoft. Um ataque bem-sucedido dá a um mau ator uma execução completa dos relatos de uma vítima, com a capacidade de estabelecer persistência, exfiltrar dados, explorar se o movimento lateral é possível e assim por diante.
“OAuth e OpenID Connect são padrões abertos e populares que milhões de propriedades da Web já usam”, diz Omer Cohen, CISO da Descope. “Se o ‘Entrar com a Microsoft’ for implementado incorretamente, vários desses aplicativos podem ficar vulneráveis à tomada de conta. Pequenas empresas com menos recursos para desenvolvedores podem ser especialmente impactadas.”
Por dentro da ameaça de ataque cibernético nOAuth
Em segundo plano, o OAuth é uma estrutura de autorização aberta, baseada em token, que permite que os usuários façam logon em aplicativos automaticamente, com base na autenticação anterior para outro aplicativo confiável. Isso é familiar para a maioria das pessoas a partir das opções “Entrar com o Facebook” ou “Entrar com o Google” disponíveis em muitos sites de comércio eletrônico.
No ambiente do Azure AD, o OAuth é usado para ajudar a gerenciar o acesso do usuário a recursos externos, como o Microsoft 365, o portal do Azure e milhares de outros aplicativos SaaS usando aplicativos OAuth.
“O Azure Active Directory também gerencia recursos internos, como aplicativos em sua intranet corporativa e quaisquer aplicativos de nuvem desenvolvidos por sua própria organização, fornecendo autenticações via OAuth, OIDC e outros protocolos padrão”, de acordo com a análise do Descope. Em outras palavras, ele detém as chaves para muitos dados corporativos importantes.
A fraqueza permite que os maus atores realizem falsificação entre plataformas simplesmente usando o endereço de e-mail de uma vítima involuntária para se passar por eles, de acordo com a análise da Descope sobre o assunto, divulgada esta semana.
“Nas implementações usuais do OAuth e do OpenID Connect, o endereço de e-mail do usuário é usado como identificador exclusivo pelos aplicativos”, explicaram os pesquisadores da Descope. “No entanto, no Microsoft Azure AD, a declaração de ‘email’ retornada é mutável e não verificada, portanto, não pode ser confiável.”
Isso significa que qualquer pessoa com intenção maliciosa e uma quantidade decente de conhecimento de plataforma pode simplesmente configurar uma conta do Azure AD e alterar arbitrariamente o atributo de email em “Informações de Contato” nessa conta para controlar a declaração de autenticação de email.
“[Isso] permite que o invasor use ‘Entrar com a Microsoft’ com o endereço de e-mail de qualquer vítima que queira se passar”, explicaram os pesquisadores. “Eles podem assumir as contas das vítimas em qualquer aplicativo que use a reivindicação de ‘e-mail’ como identificador exclusivo do Microsoft OAuth e não valide esse endereço de e-mail, ignorando completamente a autenticação.”
O fluxo de ataque é enervantemente simples:
- Os invasores acessam sua conta do Azure AD como administrador.
- Os invasores alteram o atributo “e-mail” de sua conta usada para autenticação para o endereço de e-mail da vítima.
- Como a Microsoft não exige que a alteração de email seja validada no Azure AD, o sistema mescla as duas contas e dá aos invasores acesso ao ambiente da vítima.
Uma fraqueza de autenticação de longo alcance
Para entender melhor o escopo do problema, os pesquisadores do Descope criaram um exploit de prova de conceito (PoC) nOAuth e o testaram “com um ataque de chapéu branco em centenas de sites e aplicativos para verificar se algum deles era vulnerável”, disseram. “Descobrimos que muitos deles eram.”
Em meio aos patos sentados estavam um aplicativo de design com milhões de usuários mensais, uma empresa de experiência do cliente de capital aberto, um provedor líder de consultoria multicloud, bem como várias PMEs e startups em estágio inicial.
“Também informamos dois provedores de plataforma de autenticação que estavam mesclando contas de usuário quando ‘Entrar com a Microsoft’ foi usado em uma conta de usuário existente”, de acordo com o relatório. “Neste caso, mesclar a conta do invasor com uma conta de usuário legítima daria controle total sobre a conta de usuário ao invasor. Como resultado, todos os seus clientes usando ‘Entrar com a Microsoft’ teriam ficado vulneráveis.”
Essas descobertas, de acordo com os pesquisadores, “são uma gota no oceano da Internet”, e provavelmente há muitos, muitos milhares de outros usuários que podem ser afetados.
A Microsoft sempre emitiu orientações gerais aos usuários para não usarem um endereço de email como um identificador exclusivo para autenticação, mas depois que o Descope informou a Microsoft sobre a amplitude do problema, a gigante da computação renovou sua orientação de implementação do Azure AD OAuth para incluir duas novas declarações de uso e seções dedicadas à verificação de declarações.
“Se seu aplicativo usa ‘Entrar com a Microsoft’ e você lida com a autenticação interna, é fundamental verificar se você usa a declaração de email retornada pelo Azure AD como o identificador exclusivo”, observa Cohen. “Em caso afirmativo, medidas de correção devem ser tomadas para garantir que a reivindicação usada como identificador exclusivo para o usuário seja a reivindicação ‘sub’ (Assunto) para evitar potencial exploração.”
Implementações incorretas do OAuth atormentam as empresas
Implementações incorretas do OAuth têm vindo à tona em grandes empresas ultimamente, mostrando a necessidade de as organizações bloquearem esse vetor de ataque potencialmente prejudicial.
Em março, por exemplo, vieram à tona falhas no sistema de autorização do site Booking.com que poderiam ter permitido que invasores assumissem contas de usuários e obtivessem visibilidade total de seus dados pessoais ou de cartão de pagamento, além de fazer login em contas na plataforma irmã do site, a Kayak.com.
E em maio, um bug rastreado como CVE-2023-28131 foi encontrado na implementação OAuth da Expo, uma estrutura de código aberto para desenvolver aplicativos móveis nativos para iOS, Android e outras plataformas da Web usando uma única base de código. A falha ameaçou as contas de qualquer usuário que usasse várias contas de mídia social para fazer login em um serviço online que usa a estrutura.
Cohen ressalta que o padrão OAuth e outros semelhantes são abordagens de autenticação confiáveis e fortes, mas que as empresas precisam se certificar de trabalhar com especialistas em segurança cibernética e autenticação ao criá-los.
“Esses padrões são extremamente complicados de trabalhar”, diz ele. “A autenticação não é algo que você pode simplesmente adicionar e marcar uma caixa. Implementar esses padrões corretamente é fundamental para a segurança do aplicativo.”
Ele acrescenta: “Se as empresas optarem por implementar esses padrões internamente, então elas devem ter testes regulares de caneta e revisão da implementação, ou podem usar uma plataforma de autenticação criada por especialistas em segurança”.
Ele ressalta que a importância disso não pode ser subestimada, já que os cibercriminosos estão procurando ativamente por esse tipo de fraqueza.
“São vetores de ataque muito típicos explorados”, observa Cohen. “Os atacantes usam isso para causar danos generalizados.”
Ele acrescenta: “Com o aumento das organizações adotando tecnologias de nuvem e aplicativos SaaS, a identidade é o novo firewall. Se a autenticação do usuário não for bem projetada, não importa o quão seguro o aplicativo seja, pois você deixará a porta da frente aberta para ataques cibernéticos.”
FONTE: DARK READING