Azure Active Directory: Sicherheitslücke entblößt private Schlüssel
[ad_1]
Zufällig, wie sie selbst kennzeichnen, stießen Penetration Tester um Karl Fosaaen vom Unternehmen NetSPI gen eine verdächtige Zeichenkette in einem App-Registration-Manifest im Azure Active Directory, dies man wie AAD-Nutzer in dieser Azure-Oberfläche hineinsehen kann. Welches dort unterhalb des Eintrags keyCredentials mit Base64 encodiert stand, entpuppte sich nachdem dem Dekodieren wie privater Schlüssel im PFX-Format. Um herauszufinden, wie ein solcher so publik einsehbar im Manifest landen konnte, legten sie verdongeln neuen Automatisierung-Benutzerkonto an und aktivierten den “Run-As”-Pferdefuß in dieser Oberfläche. Dasjenige Kurs Kontakt haben Windows-Server-Administratoren ohne Azure von geplanten Aufgaben, die im Namen eines Funktionsbenutzers mit Möbeln ausgestattet und vollzogen werden können.
Dass jeder AAD-Nutzer die Schlüsseldaten so trivial aus einem JSON-Objekt aussieben kann, macht eine Rechteausweitung möglich. Zum Test legten die Forscher verdongeln Benutzerkonto ohne Rechte an und bauten ein PowerShell-Skript, dies selbständig nachdem den Zertifikaten des Automations-Accounts suchte. So konnten sie beweisen, dass sich ein Nutzer ohne weitere Rechte automatisiert Zugriff gen Zugangsdaten mit dieser Contributor-Rolle beschaffen konnte. Mit diesen Ergebnissen informierten sie am 7. zehnter Monat des Jahres 2021 dies Microsoft Security Response Center (MSRC) und die Redmonder reagierten. Am 29.10. konnte NetSPI feststellen, dass Rechtsmittel geschaffen wurde, nachdem man vorher im Kontakt mit Microsoft stand und Finessen zur Lücke ausgetauscht hatte.
Lücke geschlossen
Die Lücke hat die CVE-2021-42306 bekommen und wurde geschlossen. Microsoft konnte in seinen Logs keine Hinweise darauf finden, dass dies Problem ausgenutzt wurde. Obwohl die privaten Schlüssel jetzt nicht mehr ausgelesen werden könnten, besteht dies Risiko, dass sie schon vorher der gerne Süßigkeiten isst unberechtigt abgerufen hat – von dort sollten die Zertifikate ausgetauscht werden. Wer Run-As-Accounts mit selbständig generierten Zertifikaten in Azure Active Directory nutzt, die zwischen dem 15.10.2020 und dem 15.11.2021 ausgestellt wurden, sollte den Schritten in Microsofts GitHub-Repository mit Reparaturanweisungen verfolgen. Betroffen sein können ebenso Nutzer von Azure Migrate und Azure Site Recovery. Zu welchem Zeitpunkt im Kontext diesen Produkten Handlungsbedarf besteht, beschreibt Microsoft in einem Blogpost und stellt Anleitungen fertig.
(jam)