Des chercheurs ont découvert une faille dans l'URL de réponse dans Azure AD qui pourrait permettre un accès non autorisé à l'API Microsoft Power Platform. Microsoft a corrigé la faille suite au rapport de bogue, en supprimant l'URL de réponse abandonnée de l'appli.
Une faille dans l'URL de réponse permettait un accès malveillant à l'API de Microsoft Power Platform
Selon un récent billet de Secureworks, une grave faille de sécurité exposait l'API de Microsoft Power Platform à un accès malveillant.
Power Platform est une suite de business intelligence de Microsoft, constituant divers logiciels facilitant la connectivité des apps, le développement, la visualisation des données, et plus encore.
En ce qui concerne la vulnérabilité, les chercheurs ont expliqué avoir découvert une URL de réponse abandonnée dans l'application Microsoft Azure Active Directory (Azure AD). Étant donné qu'elle est liée à Power Platform, l'exploitation de cette URL abandonnée pourrait permettre à un adversaire d'obtenir un accès non autorisé à l'API de Power Platform. Étant donné la gamme de privilèges explicites que présente l'API, un accès malveillant à l'API risque d'accorder des privilèges élevés à un adversaire.
Bien que les chercheurs n'aient pas exploité la vulnérabilité à plus grande échelle, ils ont fait une démonstration de l'exploit via un PoC. Leur post décrit comment ils ont pu rediriger les jetons d'autorisation pour obtenir des privilèges d'administrateur au sein de la Power Platform.
En bref, l'attaque commence par tromper l'utilisateur victime en l'incitant à cliquer sur un lien malveillant qui redirige vers l'URL de réponse revendiquée par l'adversaire. Ensuite, le serveur de l'attaquant échange le code d'autorisation dans le paramètre de l'URL contre le jeton d'accès. Dans la dernière étape, les chercheurs ont démontré qu'ils appelaient le service de niveau intermédiaire à l'aide du jeton d'accès. Cependant, ils ont expliqué qu'un attaquant pourrait échanger des codes d'autorisation contre des jetons d'accès directement sans impliquer le service de niveau intermédiaire.
Microsoft a corrigé la vulnérabilité
Après avoir découvert la vulnérabilité, les chercheurs l'ont signalée à Microsoft en avril 2023. Suite à leur rapport, Microsoft a agi rapidement pour développer un correctif, le publiant avec une mise à jour immédiate d'Azure AD le jour suivant. Le géant de la technologie a supprimé l'URL de réponse abandonnée de l'application Azure AD pour remédier à la faille.
Fais-nous part de tes réflexions dans les commentaires.
