Azure Active Directory: kwetsbaarheid legt persoonlijke sleutels bloot


Per ongeluk, zoals ze zichzelf omschrijven, kwamen ze tegen Penetratietester rond Karl Fosaaen van NetSPI op een verdachte tekenreeks in een app-registratiemanifest in Azure Active Directory, dat AAD-gebruikers kunnen bekijken in de Azure-interface. Wat staat er onder de invoer keyCredentials Gecodeerd met Base64, bleek na decodering een privésleutel in PFX-formaat te zijn. Om erachter te komen hoe zo’n manifest op zo’n publiek zichtbare manier kon eindigen, maakten ze een nieuw automatiseringsaccount aan en activeerden ze het vinkje “Run-As” in de interface. Windows-serverbeheerders zonder Azure zijn bekend met het concept van geplande taken die namens een functionele gebruiker kunnen worden ingesteld en uitgevoerd.

Het feit dat elke AAD-gebruiker zo eenvoudig de belangrijkste data uit een JSON-object kan lezen, maakt een uitbreiding van rechten mogelijk. Voor de test hebben de onderzoekers een account zonder rechten aangemaakt en gebouwd PowerShell-scriptdie automatisch naar de certificaten van het automatiseringsaccount zocht. Op deze manier konden ze bewijzen dat een gebruiker zonder verdere rechten automatisch toegang kon krijgen tot toegangsgegevens met de rol van bijdrager. Met deze resultaten hebben ze het Microsoft Security Response Center (MSRC) op 7 oktober 2021 geïnformeerd en het bedrijf uit Redmond heeft gereageerd. Op 29 oktober NetSPI heeft kunnen vaststellen dat er een oplossing is gevonden na vooraf contact te hebben gehad met Microsoft en details over de kwetsbaarheid uit te wisselen.

De kloof heeft de CVE-2021-42306 kreeg en was gesloten. Microsoft kon in de logboeken geen bewijs vinden dat het probleem werd misbruikt. Hoewel de privésleutels niet meer kunnen worden uitgelezen, bestaat het risico dat iemand ze eerder zonder autorisatie heeft geopend – daarom moeten de certificaten worden uitgewisseld. Als u run-as-accounts gebruikt met automatisch gegenereerde certificaten in Azure Active Directory die zijn uitgegeven tussen 15 oktober 2020 en 15 november 2021, volgt u de stappen in Microsoft’s GitHub-repository met reparatie-instructies volgen. Gebruikers van Azure Migrate en Azure Site Recovery kunnen ook worden beïnvloed. Wanneer er actie nodig is met deze producten, beschrijft Microsoft in een blogpost en geeft instructies.


(jam)



Source link

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

%d bloggers liken dit: