专家揭示网络犯罪分子如何利用 Microsoft Entra ID 获取更高权限

网络安全研究人员发现，通过利用废弃的回复 URL，与 Microsoft Entra ID（以前称为 Azure Active Directory）应用程序相关的权限升级案例。

Secureworks 反威胁部门 (CTU)在上周发布的一份技术报告中表示：“攻击者可以利用这个废弃的 URL 将授权代码重定向到自己，用非法获取的授权代码交换访问令牌。”

“然后，威胁参与者可以通过中间层服务调用 Power Platform API 并获得提升的权限。”

在 2023 年 4 月 5 日负责任地披露后，微软通过一天后发布的更新解决了该问题。Secureworks 还提供了一个开源工具，其他组织可以使用该工具来扫描废弃的回复 URL。

回复 URL也称为重定向 URI，是指应用程序成功授权并被授予授权代码或访问令牌后，授权服务器向用户发送的位置。

微软在其文档中指出：“授权服务器将代码或令牌发送到重定向 URI，因此在应用程序注册过程中注册正确的位置非常重要。”

Secureworks CTU 表示，它发现了一个与 Azure Traffic Manager 配置文件关联的废弃 Dynamics Data Integration 应用程序回复 URL，该 URL 使得可以通过中间层服务调用 Power Platform API 并篡改环境配置。

在假设的攻击场景中，这可能用于获取现有服务主体的系统管理员角色并发送删除环境的请求，以及滥用 Azure AD Graph API 收集有关目标的信息，以便进行后续操作- 活动。

然而，这有可能是受害者点击恶意链接，导致 Microsoft Entra ID 在登录时发出的授权代码被传递到被威胁行为者劫持的重定向 URL。

此次披露之际，Kroll 透露，利用开放重定向的 DocuSign 主题网络钓鱼活动有所增加，使攻击者能够传播特制的 URL，点击这些 URL 后，会将潜在受害者重定向到恶意网站。

Kroll 的 George Glass表示：“通过利用值得信赖的网站制作欺骗性 URL，恶意行为者可以更轻松地操纵用户点击链接，以及欺骗/绕过扫描链接中是否存在恶意内容的网络技术。”

“这会导致受害者被重定向到旨在窃取敏感信息的恶意网站，例如登录凭据、信用卡详细信息或个人数据。”

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/7859.html