Exploração do Entra OAuth para acesso a aplicativos internos da Microsoft

 (research.eye.security)
2 pontos por GN⁺ 2025-08-11 | Ainda não há comentários. | Compartilhar no WhatsApp
  • Pesquisadores confirmaram a possibilidade de acesso a aplicativos internos da Microsoft ao explorar o processo de consentimento e delegação de permissões do Entra OAuth
  • Essa falha representa uma nova ameaça à proteção de sistemas internos, pois demonstra a possibilidade de um usuário externo obter uma rota de acesso aos serviços internos
  • O mecanismo básico de consentimento e uma configuração insuficiente de permissões são a causa principal
  • Os resultados mostraram que, com os controles de segurança existentes, há vulnerabilidade em solicitações de consentimento OAuth e no controle de acesso
  • Empresas e organizações identificaram a necessidade de fortalecer a gestão de consentimento e permissões OAuth

Visão geral e contexto da pesquisa

  • O Microsoft Entra OAuth é um sistema de autenticação/autorização em que múltiplos aplicativos obtêm acesso a diferentes serviços com o consentimento do usuário
  • Os pesquisadores descobriram que, no ambiente-alvo, aplicativos da Microsoft que normalmente são acessíveis apenas internamente podem se tornar acessíveis externamente ao se explorar um cenário específico de consentimento e delegação de permissões

Análise de causa

  • A vulnerabilidade ocorre ao explorar o processo de solicitação de consentimento OAuth
  • Se um aplicativo não estiver corretamente restringido, um atacante pode obter tokens de recursos internos ao induzir o usuário a conceder consentimento
  • Como o mecanismo padrão de consentimento e concessão de permissões não é suficientemente granular, alguns serviços internos passam a ficar expostos externamente

Impacto e risco

  • Existe a possibilidade de um usuário malicioso utilizar essa vulnerabilidade para acessar sistemas internos da Microsoft e seus aplicativos
  • Se o acesso for permitido, há risco de vazamento de dados sensíveis ou abuso indevido de funcionalidades internas

Resposta e recomendações

  • As organizações devem revisar o governo do OAuth e controlar rigorosamente todos os processos de consentimento e atribuição de permissões
  • Com base no princípio de menor privilégio, é necessário limitar claramente os recursos consentidos e o escopo das permissões
  • É necessário reforçar a governança estabelecendo revisões periódicas de auditoria de aplicativos OAuth e processos de gestão de consentimento

Leituras relacionadas

Ainda não há comentários.

Ainda não há comentários.