Chyba v Microsoft OAuth umožňuje převzetí Azure účtu

Microsoft flaw

Některé aplikace společnosti Microsoft jsou náchylné k problému s ověřením, který by mohl umožnit převzetí Azure účtu.

Chyba zabezpečení způsobená tím, že aplikace společnosti Microsoft používají protokol OAuth pro ověřování třetích stran, by mohla útočníkovi umožnit převzít účty cloudu Azure.

OAuth je protokol, který umožňuje uživatelům aplikací sdílet data o jejich účtech s webovými stránkami nebo aplikacemi třetích stran, takže když se přihlašují do aplikací, nemusejí pokaždé znovu zadávat hesla.

Tato chyba zabezpečení existuje, protože když aplikace společnosti Microsoft projdou autorizačním tokem OAuth 2.0 (příští generace protokolu OAuth), důvěřují určitým doménám a subdoménám třetích stran, které nejsou registrovány společností Microsoft. Vědci CyberArk objevili tři zranitelné aplikace společnosti Microsoft, které důvěřují těmto neregistrovaným doménám: Portfolia (nástroj pro správu portfolia), O365 Secure Score (nástroj pro bezpečnostní analýzu) a Microsoft Trust Service (portál poskytující zdroje o zabezpečení společnosti Microsoft, o ochraně osobních údajů a dodržování předpisů).

Zdroj: threatpost.com

Související články

Leave a Comment