Güvenlik araştırmacıları, Microsoft’un Azure Active Directory (AAD) hizmetindeki bir sorunla ilgili uyarıda bulunarak, tehdit aktörlerinin koşullu erişim ilkelerini etkileme potansiyeli olduğunu ortaya koydu.
Yapılan analize göre, bu güvenlik açığı, saldırganların arka kapılar oluşturmasına ve çok faktörlü kimlik doğrulamayı atlayarak erişim haklarını değiştirmesine neden oluyor. Ayrıca, araştırmacılar, ortaya çıkan sorunun saldırganların gelecekteki saldırıları desteklemek ve başlatmak için politika yapılandırmaları hakkında bilgi toplamasına da izin verdiğine dikkat çekiyor. Azure AD, Microsoft’un bulut tabanlı kimlik ve erişim yönetimi hizmeti ve premium sürümü cihaz uyumluluğu gibi belirli bilgilere erişim sağlayan ya da erişimi engelleyen CAP’leri de destekliyor.
Araştırmacılar, konuyla ilgili olarak şunları ifade ediyor: “Azure AD, kimlik doğrulama yöntemleri ve CAP’ler için ayarları depoluyor. CAP’ler Azure AD portalı ve API çağrıları aracılığıyla da değiştirilebiliyor.”
Elde edilen bilgilere göre AADGraph, meta veriler de dahil bütün CAP ayarlarının değiştirilmesine izin veren tek API. Bu nedenle Microsoft, denetim günlüklerini iyileştirmek ve CAP güncellemelerini sınırlamak için planlanan değişiklikleri duyururken, AADGraph’ın kullanımdan kaldırılacağını ve yöneticilerin CAP politikalarında güncelleme yapmasının engelleneceğini belirtiyor.
Uzmanlar ayrıca, bu güvenlik açığının herhangi bir kullanıcının ilke yapılandırmalarını görebileceği ve yönetici haklarına sahip olan herkesin kaydedilmemiş değişiklikler yapabileceği riskini vurguluyor. Bu durum, bir yöneticinin kimlik bilgilerinin tehdit aktörleri tarafından ele geçirilmesi durumunda zararlı değişiklikler yapma potansiyeline sahip olmaları anlamına geliyor.