Researchers Flag Account Takeover Flaw in Microsoft Azure AD OAuth Apps
2023/05/20 SecurityWeek — セキュリティ分野のスタートアップ Descope の研究者たちは、Microsoft Azure AD OAuth アプリケーションに存在する深刻なミスコンフィグレーションを発見し、”Log in with Microsoft” を使用している組織においては、アカウント乗っ取りの可能性が生じていると警告を発した。このセキュリティ上の欠陥は nOAuth と呼ばれ、Microsoft Azure AD のマルチ・テナント OAuth アプリケーションに影響を及ぼす、認証実装の欠陥だと説明されている。
この問題を文書化した Descope のアドバイザリが指摘するのは、悪意の行為者が Microsoft Azure AD アカウントの電子メール属性を変更し、なりすましの標的である被害者の電子メールアドレスを使用して、ワンクリックで “Log in with Microsoft” 機能を悪用できるという点だ。
Descope は、「通常の OAuth や OpenID Connect の実装では、ユーザーの電子メールアドレスはアプリケーションにより一意の識別子として使用される。しかし、Microsoft Azure AD では、リターンされる “email” Claim が変更可能であり、また、検証されていないため、信頼できない」と説明している。
同社によると、この複合的な効果により、Azure AD テナントを作成した攻撃者は、脆弱なアプリと特別に細工された “被害者” ユーザーを使った、”Log in with Microsoft” が可能になり、その結果として、アカウントの完全な乗っ取りにいたるという。Descope は、この悪用の可能性が、単純であることを示すデモビデオを公開した。
ユーザー ID 分野のスタートアップである Descope は、この問題を今年の初めに Microsoft に報告し、権限昇格攻撃から企業ユーザーを保護するための、新たな緩和策について協力してきたという。
この問題について、Microsoft は Azure AD (AAD) アプリケーションで使用される、安全ではないアンチパターンと説明し、アクセストークンから “email” Claim を用いて認証を行うと、特権昇格につながる可能性があるとしている。
Microsoft は、「アプリケーションに発行されたトークンの “email” Claim が、攻撃者により改ざんされる可能性がある。さらに、アプリケーションが電子メールの検索において、そのような Claim を使用した場合には、データ漏洩にいたる可能性が生じる。認証の目的で “email” Claim を使用しない運用を推奨する。認証やプライマリ・ユーザー識別の目的で、アプリケーションで “email” Claim が使用されると、アカウントや権限の昇格攻撃の対象となる」と認めている。
Microsoft は開発者に対しても、アプリケーションの認可ビジネス・ロジックを見直し、文書化されたガイダンスに従って、アプリケーションを不正アクセスから保護するよう促している。
まず、クレーム (Claim) という用語ですが、Microsoft の解説によると、その種類としては、たとえば名前/ロール/メール アドレスなどがあるようです。その中のメールアドレスを “Log in with Microsoft” 機能で悪用すると、データ漏洩にいたる可能性が生じるので、認証の目的で “email” クレームを使用しない運用を推奨するとのことです。よろしければ、Azure で検索も、ご利用ください。
You must be logged in to post a comment.