Los investigadores de ciberseguridad han descubierto un caso de escalada de privilegios asociado con una aplicación Microsoft Entra ID (anteriormente Azure Active Directory) aprovechando una URL de respuesta abandonada.
«Un atacante podría aprovechar esta URL abandonada para redirigir códigos de autorización a sí mismo, intercambiando los códigos de autorización obtenidos ilícitamente por tokens de acceso», dijo Secureworks Counter Threat Unit (CTU) en un informe técnico publicado la semana pasada.
«El actor de la amenaza podría entonces llamar a la API de Power Platform a través de un servicio de nivel medio y obtener privilegios elevados».
Tras la divulgación responsable el 5 de abril de 2023, Microsoft solucionó el problema mediante una actualización publicada un día después. Secureworks también ha puesto a disposición una herramienta de código abierto que otras organizaciones pueden utilizar para buscar URL de respuesta abandonadas.
La URL de respuesta, también llamada URI de redireccionamiento, se refiere a la ubicación a la que el servidor de autorización envía al usuario una vez que la aplicación ha sido autorizada exitosamente y se le ha otorgado un código de autorización o token de acceso.
«El servidor de autorización envía el código o token al URI de redireccionamiento, por lo que es importante registrar la ubicación correcta como parte del proceso de registro de la aplicación», señala Microsoft en su documentación.
Secureworks CTU dijo que identificó una URL de respuesta de la aplicación Dynamics Data Integration abandonada asociada con el perfil de Azure Traffic Manager que hacía posible invocar la API de Power Platform a través de un servicio de nivel medio y alterar las configuraciones del entorno.
En un escenario de ataque hipotético, esto podría haberse utilizado para adquirir el rol de administrador del sistema para una entidad de servicio existente y enviar solicitudes para eliminar un entorno, así como también abusar de la API Graph de Azure AD para recopilar información sobre el objetivo con el fin de realizar el seguimiento sobre actividades.
Sin embargo, esto se basa en la posibilidad de que una víctima haga clic en un enlace malicioso, como resultado de lo cual el código de autorización emitido por Microsoft Entra ID al iniciar sesión se entrega a una URL de redireccionamiento secuestrada por el actor de la amenaza.
La divulgación se produce cuando Kroll reveló un aumento en las campañas de phishing con temas de DocuSign que utilizan redireccionamientos abiertos, lo que permite a los adversarios propagar URL especialmente diseñadas que, al hacer clic, redirigen a las víctimas potenciales a un sitio malicioso.
«Al crear una URL engañosa que aprovecha un sitio web confiable, los actores maliciosos pueden manipular más fácilmente a los usuarios para que hagan clic en el enlace, así como engañar/evitar la tecnología de red que escanea los enlaces en busca de contenido malicioso», dijo George Glass de Kroll.
«Esto da como resultado que la víctima sea redirigida a un sitio malicioso diseñado para robar información confidencial, como credenciales de inicio de sesión, detalles de tarjetas de crédito o datos personales».
Fuente y redacción: under0de.org
