Los investigadores descubrieron una falla en la URL de respuesta en Azure AD que podría permitir el acceso no autorizado a la API de Microsoft Power Platform. Microsoft solucionó la falla luego del informe de error, eliminando la URL de respuesta abandonada de la aplicación.
Una falla en la URL de respuesta permitió el acceso malicioso a la API de Microsoft Power Platform
Según un artículo reciente de Secureworks, una falla de seguridad grave expone la API de Microsoft Power Platform a acceso malicioso.
Power Platform es una suite de inteligencia empresarial de Microsoft, que constituye un software variado que facilita la conectividad, el desarrollo, la visualización de datos, etc.
En cuanto a la vulnerabilidad, los investigadores explicaron el descubrimiento de una URL de respuesta abandonada en la aplicación Microsoft Azure Active Directory (Azure AD). Dado que está relacionado con Power Platform, explotar esta URL abandonada podría permitir que un adversario obtenga acceso no autorizado a la API de Power Platform. Dada la variedad de privilegios explícitos disponibles para la API, el acceso malicioso a la API corre el riesgo de otorgar privilegios elevados a un adversario.
Aunque los investigadores no explotaron la vulnerabilidad en mayor medida, la demostraron mediante una PoC. Su publicación describía cómo podían redirigir los tokens de autorización para obtener privilegios de administrador dentro de Power Platform.
En resumen, el ataque comienza engañando al usuario víctima para que haga clic en un enlace malicioso que redirige a la URL de respuesta reclamada por el adversario. Luego, el servidor del atacante intercambia el código de autorización en el parámetro URL por el token de acceso. En el último paso, los investigadores demostraron cómo llamar al servicio de nivel medio utilizando el token de acceso. Sin embargo, explicaron que un atacante podría intercambiar directamente códigos de autorización por tokens de acceso sin involucrar al servicio de nivel medio.
Microsoft solucionó la vulnerabilidad
Después de descubrir la vulnerabilidad, los investigadores la informaron a Microsoft en abril de 2023. Después de su informe, Microsoft actuó rápidamente para desarrollar una solución y la lanzó con una actualización inmediata de Azure AD al día siguiente. El gigante tecnológico eliminó la URL de respuesta abandonada de la aplicación Azure AD para corregir la falla.
Háganos saber su opinión en los comentarios.