Microsoft ได้แก้ไขช่องโหว่ Information disclosure หมายเลข CVE-2021-42306 ซึ่งส่งผลกระทบต่อ Azure AD
ช่องโหว่นี้เกิดขึ้นเมื่อผู้ใช้ หรือแอปพลิเคชันอัปโหลดข้อมูล Private key ที่ไม่มีการป้องกันซึ่งเป็นส่วนหนึ่งของการรับรองความถูกต้องของ keyCredential บนแอปพลิเคชัน Azure AD หรือ Service Principal ช่องโหว่นี้ทำให้ผู้ใช้สามารถเข้าถึง และมีสิทธิ์อ่านข้อมูล Private key ในแอปพลิเคชันได้
จากปัญหาดังกล่าวทาง Azure AD จัดการกับช่องโหว่นี้โดยป้องกันไม่ให้มีการเปิดเผยค่าคีย์ส่วนตัวใดๆ ที่เพิ่มลงในแอปพลิเคชัน
ช่องโหว่นี้ถูกค้นพบโดย Karl Fosaaen จาก NetSPI โดยได้รับระดับ CVSS 8.1 โดย Karl Fosaaen อธิบายว่าช่องโหว่เกิดจากการตั้งค่าผิดพลาดใน Azure ทำให้บัญชีอัตโนมัติเรียกใช้ข้อมูล credentials (PFX certificates) ที่ถูกเก็บไว้ใน Clear text ใน Azure AD ทำให้สามารถเข้าถึงข้อมูลเกี่ยวกับการลงทะเบียนแอปพลิเคชัน
โดยทำให้บัญชีอัตโนมัติเรียกใช้ข้อมูล Credentials (PFX certificates) ที่ถูกเก็บไว้ใน Clear text ใน Azure AD ทำให้สามารถเข้าถึงข้อมูลเกี่ยวกับการลงทะเบียนแอปพลิเคชันได้ โดยผู้โจมตีสามารถใช้ข้อมูลประจําตัวเหล่านี้เพื่อรับรองความถูกต้องในการลงทะเบียนบนแอปพลิเคชัน ซึ่งโดยปกติแล้วจะเป็นผู้ดูแลแอปพลิเคชันเท่านั้น
ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้เพื่อยกระดับสิทธิ์ในการสมัครใช้งานบัญชีอัตโนมัติ จากนั้นจะมีการเข้าถึงทรัพยากรของระบบที่ได้รับผลกระทบ ซึ่งรวมถึงข้อมูลที่ที่มีความสำคัญซึ่งจัดเก็บไว้ในบริการของ Azure และข้อมูลประจำตัวที่จัดเก็บไว้ใน Key Vault
Microsoft ได้จัดการกับช่องโหว่นี้ โดยป้องกันไม่ให้บริการของ Azure จัดเก็บ Clear text private keys ในคุณสมบัติของ keyCredentials และป้องกันไม่ให้ผู้ใช้อ่านข้อมูลส่วนตัวของ Private key ที่ถูกจัดเก็บไว้ใน Clear text
ที่มา: securityaffairs