Exploitation d'Entra OAuth pour accéder aux applications internes Microsoft

• Les chercheurs ont confirmé qu'en exploitant le processus de consentement et de délégation des droits d'Entra OAuth, il était possible d'accéder aux applications internes de Microsoft
• Cette vulnérabilité constitue une nouvelle menace pour la protection des systèmes internes, puisqu'elle ouvre la possibilité qu'un utilisateur externe obtienne un accès aux services internes
• Les mécanismes de consentement de base et la mauvaise configuration des permissions sont les causes principales
• Les résultats de la recherche montrent qu'avec les contrôles de sécurité existants, une faille subsiste au niveau de la demande de consentement OAuth et du contrôle d'accès
• Les entreprises et organisations ont confirmé la nécessité de renforcer la gestion du consentement et des autorisations OAuth

Contexte et aperçu de la recherche

• Microsoft Entra OAuth est un cadre d'authentification et d'autorisation où plusieurs applications obtiennent des droits d'accès à différents services avec le consentement de l'utilisateur
• Les chercheurs ont constaté que, dans un environnement cible, des applications Microsoft normalement accessibles uniquement en interne pouvaient être atteintes depuis l'extérieur lorsqu'un scénario spécifique de consentement et de délégation d'autorisation était exploité

Analyse des causes

• La vulnérabilité survient par l'exploitation du processus de demande de consentement OAuth
• Si une application n'est pas correctement restreinte, un attaquant peut obtenir un jeton de ressource interne en incitant un utilisateur à donner son consentement
• Le mécanisme de consentement et d'octroi d'autorisation fourni par défaut n'est pas suffisamment granulé, ce qui expose certains services internes à un risque d'exposition externe

Impact et risques

• Un utilisateur malveillant pourrait utiliser cette vulnérabilité pour accéder aux systèmes internes Microsoft et aux applications
• Si l'accès est accordé, il existe un risque de fuite de données sensibles ou d'utilisation abusive des fonctionnalités internes

Réponse et recommandations

• Les organisations doivent revoir leur gouvernance OAuth et contrôler strictement tous les processus d'attribution du consentement et des permissions
• Il faut adopter une approche basée sur le principe du moindre privilège, en limitant clairement les ressources approuvées par consentement ainsi que l'étendue des droits accordés
• Il est nécessaire de renforcer la gestion en mettant en place un audit régulier des applications OAuth et des processus de gestion du consentement