- El equipo de investigación verificó que es posible acceder a aplicaciones internas de Microsoft al explotar el proceso de consentimiento y delegación de permisos de Entra OAuth.
- Esta vulnerabilidad representa una nueva amenaza para la protección de sistemas internos, ya que muestra la posibilidad de que un actor externo obtenga una vía de acceso a servicios internos.
- El mecanismo de consentimiento básico y la configuración deficiente de permisos son la causa principal.
- El estudio encontró que con los controles de seguridad existentes siguen existiendo brechas en la solicitud de consentimiento OAuth y el control de acceso.
- Empresas y organizaciones confirmaron la necesidad de reforzar la gestión de consentimiento y permisos de OAuth.
Resumen y contexto del estudio
- Microsoft Entra OAuth es un marco de autenticación y autorización en el que múltiples aplicaciones obtienen acceso a distintos servicios con el consentimiento del usuario.
- Los investigadores descubrieron que, en el entorno objetivo, aplicaciones de Microsoft normalmente accesibles solo desde el interior pueden ser accesibles desde el exterior al explotar un escenario específico de consentimiento y delegación de permisos.
Análisis de causas
- La vulnerabilidad se produce al explotar el proceso de solicitud de consentimiento OAuth.
- Si una aplicación no está correctamente restringida, un atacante puede inducir el consentimiento del usuario para obtener tokens de recursos internos.
- El mecanismo de consentimiento y concesión de permisos proporcionado de forma predeterminada no está lo suficientemente granular, por lo que algunos servicios internos quedan expuestos a riesgos de acceso externo.
Impacto y riesgo
- Existe la posibilidad de que un atacante malintencionado utilice esta vulnerabilidad para acceder a los sistemas internos de Microsoft y a las aplicaciones.
- Si se permite el acceso, existe el riesgo de filtración de datos sensibles o uso indebido de funciones internas.
Mitigación y recomendaciones
- Las organizaciones deben revisar su gobernanza de OAuth y controlar de manera rigurosa todos los procesos de consentimiento y asignación de permisos.
- Con base en el principio de mínimo privilegio, se necesita una aproximación que limite claramente los recursos y el alcance de permisos concedidos.
- Es necesario establecer revisiones periódicas de auditoría de aplicaciones OAuth y procesos de gestión de consentimiento para fortalecer el control.
Aún no hay comentarios.