Veiligheidslek ‘nOAuth’ bedreigt Microsoft Azure-accounts
Er zit een ernstige kwetsbaarheid in Microsoft Azure. Bij cybersecuritybedrijf Descope, waar de kwetsbaarheid werd ontdekt, wordt gesproken over ‘nOAuth’. De naam van het lek is een woordspeling op het OAuth-authenticatieproces, dat het mogelijk maakt om in te loggen met diensten als Google, Facebook of Microsoft. Door het veiligheidslek kunnen hackers niet alleen toegang krijgen tot Azure-accounts, maar ook tot websites van andere partijen.
De oorzaak van het probleem moet gezocht worden in Azure’s ‘Active Directory’, ook wel Azure AD. Azure AD is in feite een dienst die het mogelijk maakt om in te loggen bij bijvoorbeeld Microsoft 365 en allerlei andere SaaS-applicaties. Die applicaties maken vrijwel allemaal gebruik van OAuth, net zoals Azure AD zelf. Azure AD wordt niet alleen gebruikt om toegang te krijgen tot externe diensten, maar beheert ook toegang tot eigen cloudapplicaties en applicaties op het intranet.
nOAuth: zo werkt het
De manier waarop hackers met nOAuth in systemen kunnen binnendringen lijkt eerder banaal. Om te beginnen moet de hacker een Azure AD-adminstratorsaccount openen. Eenmaal dat gebeurt is, volstaat het om enkele instellingen te wijzigen: het e-mailadres dat aan het account vasthangt, moet veranderd worden naar het e-mailadres van het doelwit. Aangezien Microsoft hiervoor geen verificatie vraagt, is het voor de hacker bijzonder makkelijk om deze aanpassing te doen.
Daarna is het voor de hacker een kwestie van naar een kwetsbare website te surfen. Om in te loggen hoeft de hacker dan alleen maar op “Log in met Microsoft” te klikken. Indien het doelwit ooit zo’n ‘log in-knop’ gebruikte, om een account aan te maken met gegevens van bijvoorbeeld Google of Facebook, is de buit zo goed als binnen. Het authenticatieproces zal dan, op basis van het e-mailadres, zien dat er ooit al is ingelogd met zo’n knop. Op het moment dat de hacker op “Log in met Microsoft” klikt, worden deze accounts samengevoegd en krijgt de hacker volledige toegang tot het account.
Kwetsbare sites
Descope liet intussen aan Microsoft weten dat er een probleem zit in het authenticatieproces via Azure AD. De technologiegigant stuurde inmiddels een document de wereld in met instructies voor ontwikkelaars: het is namelijk niet de bedoeling dat de waarde ‘e-mail’ gebruikt wordt om iemand toegang te verschaffen tot diensten.
Descope ging daarna op veldonderzoek om te kijken of ze kwetsbare apps vonden. De apps die kwetsbaar waren kregen meteen een waarschuwing van Descope – welke dat precies zijn deelt het cybersecuritybedrijf niet precies mee. Wel zou er een “design app met miljoenen maandelijkse gebruikers” en een “vooraanstaande multi-cloud consulting provider” tussen de kwetsbare apps zitten.
Jezelf beveiligen
Jezelf beveiligen is niet meteen noodzakelijk: ontwikkelaars van apps zouden ervoor moeten zorgen dat het inlogproces binnenkort weer veilig wordt. Wil je toch zeker zijn van je veiligheid? Vermijd dan de “Log in met Microsoft”-optie, zeker als je ooit een andere dienst gebruikte om ergens in te loggen.