Onderzoekers van CyberArk hebben een kwetsbaarheid gevonden in het login-systeem van Microsoft, waardoor het mogelijk is om Azure accounts over te nemen. Het lek betreft specifieke Microsoft OAuth 2.0 applicaties, waarbij het mogelijk is om authenticatie-tokens aan te maken met gebruikerstoestemming.
Aanvallers kunnen op die manier toegang krijgen en controle over een account overnemen. Het lek is eind oktober gerapporteerd bij Microsoft en drie weken later gerepareerd. CyberArk heeft sinds gisteren een scanning-tool online gezet waarmee iedereen zelf kan ontdekken of er kwetsbare applicaties in een Azure-omgeving draaien.
OAuth is een autorisatie-protocol waarmee websites en applicaties toegang krijgen tot gebruikersinformatie van andere sites, zonder daadwerkelijk secrets of wachtwoorden te delen. Het wordt door bedrijven veel gebruikt om gegevens te delen met andere apps en sites. De nieuwe generatie van het OAuth-protocol, OAuth2, biedt toegang tot HTTP-services via een client (zoals een site of mobiele app). Het protocol zelf is goed gebouwd, maar een verkeerde implementatie of verkeerd gebruik en configuratie kan een schadelijk effect hebben. Tijdens het autorisatieproces worden tokens aangemaakt voor de specifieke toestemming. De kwetsbaarheid leidde ertoe dat deze tokens konden worden gestolen.
De onderzoekers van CyberArk vonden tientallen subdomeinen die verbonden zijn met de Microsoft-applicaties waarvoor de tokens worden aangemaakt. Deze zijn gemeld zodat Microsoft maatregelen kon nemen, maar de beveiligingsspecialist waarschuwt dat er nog meer kunnen zijn. Vandaar dat nu de scanning-tool beschikbaar wordt gesteld.
De technische uitleg van het lek is te vinden op www.cyberark.com
De scanning-tool is te vinden op black.direct
12 oktober 2023 Praktisch en interactief seminar met Nigel Turner Data-gedreven worden lukt niet door alleen nieuwe technologie en tools aan te schaffen. Het vereist een transformatie van bestaande business modellen, met cultuurverandering, een heron...
6 t/m 8 november 2023 Praktische workshop Data Management Fundamentals door Chris Bradley - CDMP-examinatie optioneel De DAMA DMBoK2 beschrijft 11 disciplines van Data Management, waarbij Data Governance centraal staat. De Certified Data Manag...
9 en 10 november 2023 Praktische workshop Data Governance & Stewardship door Chris Bradley - CDMP-examinatie optioneel Wat betekent Data Governance eigenlijk, hoe kunnen we het praktisch laten werken en wat zijn de implicaties? Deze 2-daag...
16 en 17 november 2023Praktische workshop boordevol tips en technieken met Alec Sharp Er is toenemende belangstelling voor modelgebaseerde technieken. Alec Sharp behandelt de belangrijkste technieken, waaronder Concept Models, Process Scope en Proces...
30 november 2023 (online cursus van 1 ochtend) Workshop met BPM-specialist Christian Gijsels over business analyse, modelleren en simuleren met de nieuwste release van Sparx Systems' Enterprise Architect, versie 16.Intensieve cursus waarin de belangr...
7 december (online seminar op 1 middag)Praktische tutorial met Alec Sharp Alec Sharp illustreert de vele manieren waarop conceptmodellen (conceptuele datamodellen) procesverandering en business analyse ondersteunen. Waardevolle online tutorial van e...
29 - 31 mei 2024Praktische driedaagse workshop met internationaal gerenommeerde spreker Alec Sharp over herkennen, beschrijven en ontwerpen van business processen. De workshop wordt ondersteund met praktijkvoorbeelden en duidelijke, herbruikbare rich...
Deel dit bericht