Las URL eliminadas pueden incendiar Microsoft Entra ID

A principios de este año, Microsoft Entra ID (entonces llamado Directorio activo de Azure) podrían haber sido fácilmente pirateados y comprometidos por piratas informáticos mediante URL de respuesta eliminadas. Un equipo de investigadores de SecureWorks descubrió esta vulnerabilidad y alertó a Microsoft.

El gigante tecnológico con sede en Redmond solucionó rápidamente la vulnerabilidad y, dentro de las 24 horas posteriores al anuncio inicial, eliminó la URL de respuesta abandonada en Microsoft Entra ID.

Hoy, casi 6 meses después de este descubrimiento, el equipo detrás de este descubrimiento, descubierto en una publicación de blogel proceso detrás de infectar URL de respuesta caídas y usarlas para activar Microsoft Entra ID, comprometiéndolo esencialmente.

Al utilizar la URL abandonada, un atacante podría obtener fácilmente privilegios elevados de la organización mediante Microsoft Entra ID. No hace falta decir que la vulnerabilidad representaba un riesgo importante y aparentemente Microsoft no lo sabía.

Un atacante podría aprovechar esta URL eliminada para redirigir los códigos de autorización a sí mismo, intercambiando los códigos de autorización obtenidos incorrectamente por tokens de acceso. Luego, el actor malintencionado podría llamar a la API de Power Platform a través de un servicio de nivel medio y obtener privilegios elevados.

Trabajos seguros

Así aprovecharía un atacante la vulnerabilidad de Microsoft Entra ID

El atacante descubriría la URL de respuesta eliminada y la secuestraría con un enlace malicioso. Luego, la víctima accedería a este enlace malicioso. Luego, Entra ID redirigiría el sistema de la víctima a la URL de respuesta, que también incluiría el código de autorización en la URL.El servidor malicioso intercambia el código de autorización por el token de acceso. El servidor malicioso llama al servicio de nivel medio utilizando el token de acceso y la API prevista, y el ID de Microsoft Entra eventualmente se vería comprometido.

Sin embargo, el equipo detrás de la investigación también descubrió que un atacante podría simplemente intercambiar los códigos de autorización por tokens de acceso sin retransmitir los tokens al servicio de nivel medio.

Dada la facilidad con la que un atacante podría haber comprometido efectivamente los servidores de Entra ID, Microsoft abordó rápidamente este problema y lanzó una actualización al día siguiente.

Pero es bastante interesante cómo el gigante tecnológico con sede en Redmond nunca vio esta vulnerabilidad. Sin embargo, Microsoft tiene la costumbre de descuidar un poco las vulnerabilidades.

A principios de este verano, la empresa fue fuertemente criticada por Tenableotra prestigiosa empresa de ciberseguridad, por no solucionar otra peligrosa vulnerabilidad que permitiría a entidades maliciosas acceder a la información bancaria de los usuarios de Microsoft.

Claramente, Microsoft necesita expandir de alguna manera su departamento de ciberseguridad. ¿Qué piensas?