Kelemahan keselamatan yang serius dalam pelaksanaan OAuth Microsoft telah ditemui yang membolehkan penyerang luar mendapat akses tanpa kebenaran kepada aplikasi dalaman Microsoft. Kelemahan ini mengeksploitasi kelemahan dalam cara aplikasi berbilang penyewa mengendalikan token pengesahan, berpotensi mendedahkan data korporat dan sistem yang sensitif.
Kelemahan tersebut berpusat pada Entra ID Microsoft (dahulunya Azure Active Directory) dan konfigurasi aplikasi berbilang penyewanya. Apabila aplikasi disediakan untuk berfungsi merentasi organisasi yang berbeza, ia boleh menerima token pengesahan daripada pengguna di luar syarikat mereka sendiri. Walau bagaimanapun, banyak aplikasi dalaman Microsoft gagal mengesahkan token ini dengan betul, mewujudkan jurang keselamatan yang berbahaya.
Komponen Kerentanan Utama:
- Aplikasi OAuth berbilang penyewa dalam Microsoft Entra ID
- Pengesahan token yang tidak betul (tiada pemeriksaan pengeluar, penyewa, subjek)
- Tetapan kebenaran pengguna lalai yang membenarkan kebenaran aplikasi yang luas
- Aplikasi dalaman yang terdedah kepada internet awam tanpa perlindungan peringkat rangkaian
Kaedah Serangan Adalah Mudah Secara Mengejutkan
Serangan ini berfungsi dengan memperdaya pengguna untuk memberikan kebenaran kepada aplikasi berniat jahat yang kelihatan sah. Setelah kebenaran diberikan, penyerang boleh menggunakan token OAuth yang dibuat khas untuk mengakses sistem dalaman Microsoft yang sepatutnya tidak boleh diakses. Masalah teras ialah banyak aplikasi hanya memeriksa sama ada token itu sah, tetapi tidak memeriksa sama ada ia datang daripada organisasi atau pengguna yang betul.
Perbincangan komuniti mendedahkan ini bukan hanya masalah Microsoft. Kerumitan konfigurasi OAuth dan Entra ID telah mewujudkan kekeliruan yang meluas di kalangan pembangun. Banyak organisasi tanpa sedar mempunyai kelemahan yang serupa kerana aplikasi mereka tidak mengesahkan tuntutan token seperti pengeluar, penyewa, dan subjek dengan betul.
Elemen Permukaan Serangan:
- Aplikasi Perusahaan Entra ID
- Aplikasi Multi-Penyewa berbanding Penyewa Tunggal
- Kebenaran OAuth dan Kebenaran MS Graph
- Kebenaran Diwakilkan berbanding Kebenaran Aplikasi
- Vektor serangan Consent Phishing
Dasar Zero Trust Tidak Dapat Mencegah Pencerobohan
Insiden ini telah mencetuskan perdebatan tentang pendekatan keselamatan moden. Microsoft, seperti banyak syarikat besar, telah beralih daripada keselamatan rangkaian tradisional kepada model zero trust di mana setiap sambungan mesti disahkan. Walau bagaimanapun, pendekatan ini gagal mencegah serangan kerana sistem pengesahan itu sendiri telah terjejas.
Sesetengah pakar keselamatan berhujah bahawa pertahanan rangkaian tradisional seperti VPN akan memberikan lapisan perlindungan tambahan. Aplikasi dalaman yang terdedah kepada internet awam menjadi sasaran mudah setelah kelemahan OAuth ditemui. VPN yang dikonfigurasi dengan betul yang memerlukan pengesahan berbilang faktor boleh menjadikan sistem ini lebih sukar untuk dicapai.
Respons Bug Bounty Microsoft Mengecewakan Komuniti Keselamatan
Mungkin yang paling membimbangkan ialah respons Microsoft terhadap penyelidik keselamatan yang menemui kelemahan ini. Walaupun menemui cara untuk mengakses pelayan pembinaan di mana Windows dikompil dan berpotensi mendedahkan kod sumber, penyelidik tidak menerima sebarang ganjaran kewangan. Ini telah menarik kritikan tajam daripada komuniti keselamatan, dengan ramai yang menunjukkan bahawa program bug bounty Microsoft telah menjadi semakin kedekut.
Program bug bounty Microsoft adalah bayangan daripada dirinya yang dahulu. Mereka secara senyap-senyap tidak melayakkan banyak penemuan berimpak tinggi pada tahun 2023.
Kekurangan ganjaran tidak menggalakkan penyelidik keselamatan yang sah daripada melaporkan kelemahan kepada Microsoft, berpotensi meninggalkan kelemahan kritikal tidak ditemui sehingga pelaku berniat jahat menemuinya.
Respons Keselamatan Microsoft:
- Aplikasi dalaman telah ditampal tetapi tiada pembetulan menyeluruh untuk penyewa dihantar
- Bounti $0 USD dibayar walaupun mendapat akses kepada pelayan binaan Windows
- Program bounti pepijat dilaporkan tidak melayakkan banyak penemuan berimpak tinggi pada tahun 2023
Kesan Meluas Melampaui Microsoft
Walaupun Microsoft telah menampal aplikasi dalaman mereka, isu konfigurasi OAuth yang mendasari menjejaskan organisasi yang tidak terkira banyaknya yang menggunakan Microsoft 365 dan Entra ID. Banyak syarikat mempunyai tetapan lalai yang membolehkan pengguna memberikan kebenaran kepada mana-mana aplikasi, mewujudkan peluang serangan yang serupa.
Kerumitan teknikal OAuth dan Entra ID menjadikannya mudah bagi pembangun untuk membuat kesilapan berbahaya. Malah jurutera berpengalaman bergelut dengan model kebenaran yang rumit dan konfigurasi berbilang penyewa, membawa kepada jurang keselamatan yang boleh dieksploitasi oleh penyerang.
Insiden ini menyerlahkan cabaran berterusan keselamatan awan dan kepentingan pengesahan token yang betul dalam sistem pengesahan moden. Organisasi yang menggunakan perkhidmatan identiti Microsoft harus menyemak kebenaran aplikasi mereka dan mempertimbangkan untuk mengehadkan persetujuan pengguna untuk mencegah serangan yang serupa.
Rujukan: Consent & Compromise: Abusing Entre OAuth for Fun and Access to Internal Microsoft Applications