Se ha revelado una vulnerabilidad que afecta a todos los dominios de aplicaciones de terceros y sub-dominios que no estén registrados por Microsoft que utilizan este mecanismo; Open Authorization (OAuth) es un estándar abierto que permite flujos simples de autorización para sitios web o aplicaciones informáticas. Entre estas aplicaciones de Microsoft que están sin dominios registrados encontradas por expertos están: Portfolio, O365 (Office 365) Secure Score, Microsoft Service Trust.
Esta vulnerabilidad posee una superficie de ataque amplia y un gran impacto una vez que es explotada con fines maliciosos, el usuario puede ser víctima al estar haciendo clicks mientra navega por sitios web infectados, sufriendo robo de información delicada, comprometer el funcionamiento de los servidores de producción, perder o manipular datos, incluso ser infectado por ransomware, entre otros.
La aplicación de Microsoft para autorización por medio de OAuth, consiste en la solicitud que verifica direcciones URL’s las cuales se encuentra en una lista blanca “whitelist” aprobada por Microsoft, al ser aprobado el propietario recibe un Token de acceso con los permisos requeridos de acuerdo a sus funciones. Existe una característica común entre los enlaces de las API que son de confianza y tienen la etiqueta “trusted” en ellas por ser nativas de Microsoft, estas aplicaciones que finalizan bajo los dominios “.cloudapp.net”, “.azurewebsites.net”, y “.{vm_region}.cloudapp.azure.com” pero los investigadores señalan que los últimos 54 sub-dominios con estas características no fueron registradas en el portal de Azure.
Los atacantes pueden registrar estos dominios, con el objetivo de evadir la aprobación de los sitios, y así lograr enviar peticiones de usuarios “access_tokens” y posteriormente actuar como si fuera dicho usuario, realizando peticiones de diversos tipos (dependiendo de los privilegios del usuario) que pueden ir desde cambiar claves, modificar información, entre otros. Para mayor información puedes consultar la documentación completa de Azure AD Graph API en este link.
Las recomendaciones para reducir el riesgo y prevenir este tipo de vulnerabilidades, son las siguientes: estar en conocimiento de todos los redireccionamientos que se encuentren configurados, eliminar todos los enlaces innecesarios o sin uso, limitar los privilegios solo a lo necesario en función del usuario y eliminar o desactivar todas las aplicaciones en desuso.
FUENTE:
COMENTARIOS