![azure.jpg](https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEidygkAgKyArkT2lk1MSp9lS2XV-PR9P105LVrfbcSwaHA9XPVjSVwpEEUpvc78bzetQ0vOKWbKjIox3ZCCpxxcciOXKWsR5ckLf2kaLO4fVzVi0Y4vnUnuWr-VkremIJ9lCst0bvni3UIgx1KqSqQ5uD60pX0Ub7AftbIkQ-Vy3Ng4AfOcMS_bPymfJswN/s728-e3650/azure.jpg)
Исследователи кибербезопасности обнаружили случай повышения привилегий, связанный с приложением Microsoft Entra ID (ранее Azure Active Directory), воспользовавшись заброшенным URL-адресом ответа.
"Злоумышленник мог использовать этот заброшенный URL-адрес для перенаправления кодов авторизации на себя, обменивая полученные незаконным путем коды авторизации на токены доступа", - говорится в техническом отчете подразделения Secureworks Counter Threat Unit (CTU), опубликованном на прошлой неделе.
"Затем злоумышленник мог вызвать API Power Platform через службу среднего уровня и получить повышенные привилегии".
После ответственного раскрытия информации 5 апреля 2023 года Microsoft устранила проблему с помощью обновления, выпущенного днем позже. Secureworks также выпустила <a>инструмент с открытым исходным кодом</a>, который другие организации могут использовать для сканирования оставленных URL-адресов ответов.
URL ответа, также называемый URI перенаправления, относится к местоположению, куда сервер авторизации отправляет пользователя после успешной авторизации приложения и предоставления кода авторизации или токена доступа.
"Сервер авторизации отправляет код или токен в URI перенаправления, поэтому важно, чтобы вы указали правильное местоположение в рамках процесса регистрации приложения", - отмечает Microsoft в своей документации.
Secureworks CTU заявила, что обнаружила заброшенный URL-адрес приложения для интеграции данных Dynamics, связанный с профилем Azure Traffic Manager, который позволял вызывать API Power Platform через службу среднего уровня и изменять конфигурации среды.
![Microsoft Entra ID Microsoft Entra ID](https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEjP6kF-GPMuwgpa8ZYoheWT45AOgM1QKznYuguDfkjMdK856Aa99s3jsBh22Mg9M0nPkkmxRqPtDFB9-cEHxw8G36QDD72iHZNHuwNKe6Z4fKpN1pe7rVOLMBg9sSMwhZINQZhCXr820SDAN3cVWQ2-JiBYNAFpA5wVl_M8ragDgDeq225RugKODsRtB5oe/s728-e3650/ms.jpg)
В гипотетическом сценарии атаки это могло быть использовано для получения роли системного администратора для существующего участника-службы и отправки запросов на удаление среды, а также для злоупотребления API Azure AD Graph для сбора информации о цели с целью проведения последующих действий.
Однако это зависит от возможности того, что жертва нажимает на вредоносную ссылку, в результате чего код авторизации, выданный Microsoft Entra ID при входе в систему, передается на URL-адрес перенаправления, захваченный субъектом угрозы.
Раскрытие происходит после того, как компания Kroll обнаружила всплеск фишинговых кампаний на тему DocuSign, использующих открытые перенаправления, позволяющие злоумышленникам распространять специально созданные URL-адреса, которые при нажатии перенаправляют потенциальных жертв на вредоносный сайт.
"Создавая обманчивый URL-адрес, который использует заслуживающий доверия веб-сайт, злоумышленники могут более легко манипулировать пользователями, заставляя их переходить по ссылке, а также обманывать / обходить сетевые технологии, которые сканируют ссылки на предмет вредоносного контента", - сказал Джордж Гласс из Kroll.
"В результате жертва перенаправляется на вредоносный сайт, предназначенный для кражи конфиденциальной информации, такой как учетные данные для входа, данные кредитной карты или личные данные".