Microsoft Informs Users of High-Severity Vulnerability in Azure AD
2021/11/18 SecurityWeek — 水曜日に Microsoft は、Azure Active Directory (AD) に影響を与える情報漏えいの脆弱性に、パッチを適用したと顧客に通知しました。この脆弱性 CVE-2021-42306 (CVSS 8.1) は、Azure で新しい Automation Account が設定されたときの、Run as 認証情報が作成される方法に起因している。
Azure のミスコンフィグレーションにより、Automation Account の Run as 認証情報 (PFX 証明書) が、Azure AD に平文で保存されてしまい、アプリ登録の情報へのアクセスが可能な、すべてのユーザーに対してアクセスが許されてしまう。したがって攻撃者は、これらの証明書を使用した認証が可能となる。
この脆弱性を発見した、ペネトレーションテスト会社である NetSPI のセキュリティ研究者たちは、攻撃者がこのバグを利用して、Automation Account を持つあらゆるサブスクリプションを Contributor 権限へと昇格させ、影響を受けるサブスクリプション・リソースにアクセスできると説明している。
彼らは、「そこには、鍵の保管庫に保存されている認証情報や、サブスクリプションで使用されている。Azure サービスに保存されている機密情報が含まれる。さらに悪いことに、リソースを無効化または削除し、Azure テナント全体をオフラインにすることも可能だ」と説明している。
Microsoft によると、この脆弱性は、アプリケーションの認証資格を設定するためにデザインされた、keyCredentials プロパティに関連しており、認証のために公開鍵データを含む証明書を受け入れるが、誤って保存してしまうことがあるという。
同社は、「Microsoft の一部のサービスでは、顧客に代わってアプリケーションを作成する際に、keyCredentials プロパティに誤って秘密鍵データを格納していた。調査の結果、このデータに悪意のアクセスが行われた形跡はなかった」と述べている。
Microsoft によると、Azure サービスが平文の秘密鍵を、keyCredentials プロパティに保存しないように修正し、また、平文で保存された秘密鍵データを、ユーザーが読み取れないようにすることで、このバグに対処したとのことだ。その結果、keyCredentials プロパティに保存されている、平文の秘密鍵へのアクセスは不可能となり、このプロパティへの保存に関連するリスクが軽減されたと述べている。
Microsoft は、2020年10月15日〜2021年10月15日に、Azure Automation の自己署名証明書を使用して作成された全ての Automation Run As アカウントが、この問題の影響を受けることも指摘している。Azure Migrate サービスの顧客や、プレビュー版の VMware を Azure Site Recovery (ASR) で Azure DR エクスペリエンスに展開した顧客も、影響を受ける可能性がありという。そのため、Azure AD を利用している顧客は、すべての Automation Account の Run as 証明書を一通り確認し、認証情報が公開されていないことを確認する必要がある。
Microsoft の Azure Active Directory (AD) は、驚異アクターにとって魅力的なターゲットです。ここを突破すれば、さまざまな情報にアクセスする道が開かれ、また、大きなビジネスをターゲットにできるからです。最近のトピックとしては、「Microsoft Azure AD に新たな脆弱性:ブルートフォース攻撃が成立する?」や、「Microsoft 警告:FoggyWeb は AD FS を狙う最強のマルウェアだ!」などがあります。合わせて ご参照ください。