Vulnerabilità in Microsoft Azure con l’Autenticazione di terze parti

04/12/2019

azure Microsoft Vulnerabilità

Dalle consuete attività di monitoraggio, il CERT-PA è venuto a conoscenza di una vulnerabilità che, se opportunamente sfruttata, potrebbe consentire di venire in possesso degli account sul Cloud di Microsoft Azure.

Descrizione vulnerabilità e cosa comporta 

La vulnerabilità risiede nel protocollo OAuth, che consente agli utenti di condividere dati con altre applicazioni senza dover inserire le proprie credenziali ogni volta, in particolare nel modo in cui le applicazioni Microsoft utilizzano OAuth per autenticare le applicazioni di terze parti.

La vulnerabilità esiste perché quando le applicazioni Microsoft attivano il flusso di autorizzazione OAuth 2.0 considerano affidabili alcuni domini e/o sottodomini di terze parti che non sono registrati da Microsoft stessa. I ricercatori di CyberArk hanno scoperto tre applicazioni Microsoft vulnerabili che si affidano a questi domini non registrati:

Uno dei possibili attacchi che interessano le applicazioni OAuth è una configurazione errata di redirect_uri. La white list di un dominio inesistente consente agli aggressori di rubare i token di accesso di un utente dell’applicazione passandolo a domini/sottodomini sorpassati. Come credenziale amministrativa, può essere pericoloso e di impatto se il token di accesso ottenuto viene rubato.

Modalità di attacco

I ricercatori di CyberArk hanno anche identificato due possibili modalità di attacco:

Modalità 1:

  • L’attaccante crea un collegamento predisposto per il flusso Web di Microsoft OAuth
  • L’attaccante incorpora un iframe in un sito Web con l’attributo “src” impostato sul collegamento predisposto.
  • La vittima naviga sul sito Web. Il browser della vittima esegue il rendering dell’iframe e microsoftonline.com lo reindirizza al dominio dell’attaccante con il token di accesso.
  • Il Javascript in esecuzione nel dominio invia richieste API con il token di accesso rubato.

Modalità 2:

  • L’attaccante crea un collegamento predisposto per il flusso Web di Microsoft OAuth con le applicazioni Microsoft vulnerabili
  • Una vittima fa clic sul collegamento predisposto e microsoftonline.com lo reindirizza al dominio dell’attaccante con il token di accesso.
  • Il Javascript in esecuzione nel dominio invia richieste API con il token di accesso rubato

I ricercatori hanno anche realizzato un PoC (Proof of Concept) della vulnerabilità.

Considerazioni finali

Microsoft ha provveduto a rilasciare la fix in merito senza tracciare con apposito CVE la vulnerabilità. In considerazione di quanto sopra riportato il CERT-PA raccomanda di mantenere sempre aggiornati i prodotti e i sistemi operativi.