Los investigadores descubrieron una falla en la URL de respuesta en Azure AD que podría permitir el acceso no autorizado a la API de Microsoft Power Platform. Microsoft solucionó la falla luego del informe de error, eliminando la URL de respuesta abandonada de la aplicación.
Según un artículo reciente de Secureworks, una falla de seguridad grave expone la API de Microsoft Power Platform a acceso malicioso.
Power Platform es una suite de inteligencia empresarial de Microsoft, que constituye un software variado que facilita la conectividad, el desarrollo, la visualización de datos, etc.
En cuanto a la vulnerabilidad, los investigadores explicaron el descubrimiento de una URL de respuesta abandonada en la aplicación Microsoft Azure Active Directory (Azure AD). Dado que está relacionado con Power Platform, explotar esta URL abandonada podría permitir que un adversario obtenga acceso no autorizado a la API de Power Platform. Dada la variedad de privilegios explícitos disponibles para la API, el acceso malicioso a la API corre el riesgo de otorgar privilegios elevados a un adversario.
Aunque los investigadores no explotaron la vulnerabilidad en mayor medida, la demostraron mediante una PoC. Su publicación describía cómo podían redirigir los tokens de autorización para obtener privilegios de administrador dentro de Power Platform.
En resumen, el ataque comienza engañando al usuario víctima para que haga clic en un enlace malicioso que redirige a la URL de respuesta reclamada por el adversario. Luego, el servidor del atacante intercambia el código de autorización en el parámetro URL por el token de acceso. En el último paso, los investigadores demostraron cómo llamar al servicio de nivel medio utilizando el token de acceso. Sin embargo, explicaron que un atacante podría intercambiar directamente códigos de autorización por tokens de acceso sin involucrar al servicio de nivel medio.
Después de descubrir la vulnerabilidad, los investigadores la informaron a Microsoft en abril de 2023. Después de su informe, Microsoft actuó rápidamente para desarrollar una solución y la lanzó con una actualización inmediata de Azure AD al día siguiente. El gigante tecnológico eliminó la URL de respuesta abandonada de la aplicación Azure AD para corregir la falla.
Háganos saber su opinión en los comentarios.
¿Has notado aplicaciones desconocidas o un drenaje inesperado de la batería? Estos podrían ser indicios…
Saber cómo Restablecer un iPhone a su Estado de Fábrica es clave para solucionar problemas…
Motorola ha confirmado el lanzamiento de Moto G84 5G y Moto G54 5G en India,…
Recuerde WizardCoder, ¿el codificador de IA que cubrimos recientemente aquí en Windows Report? Nos jactamos…
Los investigadores han descubierto numerosos fallos de seguridad en el complemento WordPress Jupiter X Core…
Para solucionar problemas del sistema de PC con Windows, necesitará una herramienta dedicada Fortect es…