Para Ahli Mengungkap Bagaimana Penjahat Dunia Maya Dapat Mengeksploitasi Microsoft Entra ID untuk Meningkatkan Hak Istimewa
28 Agustus 2023Kerentanan Ruang Berita / Direktori Aktif
Peneliti keamanan siber telah menemukan kasus peningkatan hak istimewa yang terkait dengan aplikasi Microsoft Entra ID (sebelumnya Azure Active Directory) dengan memanfaatkan URL balasan yang ditinggalkan.
“Seorang penyerang dapat memanfaatkan URL yang ditinggalkan ini untuk mengalihkan kode otorisasi ke dirinya sendiri, menukar kode otorisasi yang diperoleh secara tidak sah dengan token akses,” kata Secureworks Counter Threat Unit (CTU) dalam laporan teknis yang diterbitkan minggu lalu.
“Pelaku ancaman kemudian dapat memanggil Power Platform API melalui layanan tingkat menengah dan mendapatkan hak istimewa yang lebih tinggi.”
Setelah pengungkapan yang bertanggung jawab pada tanggal 5 April 2023, masalah tersebut telah diatasi oleh Microsoft melalui pembaruan yang dirilis sehari kemudian. Secureworks juga menyediakan alat sumber terbuka yang dapat digunakan organisasi lain untuk memindai URL balasan yang ditinggalkan.
URL Balasan, juga disebut URI pengalihan, mengacu pada lokasi tempat server otorisasi mengirim pengguna setelah aplikasi berhasil diotorisasi dan diberikan kode otorisasi atau token akses.
“Server otorisasi mengirimkan kode atau token ke URI pengalihan, jadi penting bagi Anda untuk mendaftarkan lokasi yang benar sebagai bagian dari proses pendaftaran aplikasi,” catat Microsoft dalam dokumentasinya.
Secureworks CTU mengatakan pihaknya mengidentifikasi URL balasan aplikasi Integrasi Data Dinamik yang ditinggalkan terkait dengan profil Azure Traffic Manager yang memungkinkan untuk memanggil API Power Platform melalui layanan tingkat menengah dan merusak konfigurasi lingkungan.
Dalam skenario serangan hipotetis, hal ini dapat digunakan untuk memperoleh peran administrator sistem untuk perwakilan layanan yang ada dan mengirim permintaan untuk menghapus lingkungan, serta menyalahgunakan API Azure AD Graph untuk mengumpulkan informasi tentang target untuk melakukan tindak lanjut tahap -pada kegiatan.
Namun hal ini bergantung pada kemungkinan korban mengeklik tautan berbahaya, sehingga kode otorisasi yang dikeluarkan oleh Microsoft Entra ID saat masuk dikirimkan ke URL pengalihan yang dibajak oleh pelaku ancaman.
Pengungkapan ini terjadi ketika Kroll mengungkapkan peningkatan dalam kampanye phishing bertema DocuSign yang memanfaatkan pengalihan terbuka, memungkinkan musuh menyebarkan URL yang dibuat khusus yang, ketika diklik, mengarahkan calon korban ke situs jahat.
“Dengan membuat URL yang menipu dan memanfaatkan situs web yang dapat dipercaya, pelaku kejahatan dapat lebih mudah memanipulasi pengguna agar mengklik tautan tersebut, serta menipu/melewati teknologi jaringan yang memindai tautan untuk mencari konten berbahaya,” kata George Glass dari Kroll.
“Hal ini mengakibatkan korban dialihkan ke situs jahat yang dirancang untuk mencuri informasi sensitif, seperti kredensial login, detail kartu kredit, atau data pribadi.”
Apakah artikel ini menarik? Ikuti kami di Twitter dan LinkedIn untuk membaca lebih banyak konten eksklusif yang kami posting.
