Onderzoekers van CyberArk hebben een kwetsbaarheid gevonden in het login-systeem van Microsoft, waardoor het mogelijk is om Azure accounts over te nemen. Het lek betreft specifieke Microsoft OAuth 2.0 applicaties, waarbij het mogelijk is om authenticatie-tokens aan te maken met gebruikerstoestemming. Aanvallers kunnen op die manier toegang krijgen en controle over een account overnemen. Het lek is eind oktober gerapporteerd bij Microsoft en drie weken later gerepareerd. CyberArk heeft sinds gisteren een scanning-tool online gezet waarmee iedereen zelf kan ontdekken of er kwetsbare applicaties in een Azure-omgeving draaien.

OAuth is een autorisatie-protocol waarmee websites en applicaties toegang krijgen tot gebruikersinformatie van andere sites, zonder daadwerkelijk secrets of wachtwoorden te delen. Het wordt door bedrijven veel gebruikt om gegevens te delen met andere apps en sites. De nieuwe generatie van het OAuth-protocol, OAuth2, biedt toegang tot HTTP-services via een client (zoals een site of mobiele app). Het protocol zelf is goed gebouwd, maar een verkeerde implementatie of verkeerd gebruik en configuratie kan een schadelijk effect hebben. Tijdens het autorisatieproces worden tokens aangemaakt voor de specifieke toestemming. De kwetsbaarheid leidde ertoe dat deze tokens konden worden gestolen. 

De onderzoekers van CyberArk vonden tientallen subdomeinen die verbonden zijn met de Microsoft-applicaties waarvoor de tokens worden aangemaakt. Deze zijn gemeld zodat Microsoft maatregelen kon nemen, maar de beveiligingsspecialist waarschuwt dat er nog meer kunnen zijn. Vandaar dat nu de scanning-tool beschikbaar wordt gesteld.

De technische uitleg van het lek is te vinden op https://www.cyberark.com/threat-research-blog/blackdirect-microsoft-azure-account-takeover/
De scanning-tool is te vinden op https://black.direct/