Uma falha de segurança crítica descoberta pela NetSPI expõe uma vulnerabilidade nas políticas de acesso condicional (CAPs) do Microsoft Entra, permitindo que atacantes obtenham tokens de acesso ao Microsoft Graph sem passar pelas avaliações de segurança padrão. A pesquisa revela que a autenticação de aplicativo aninhado (NAA), parte do framework de Single Sign-On (SSO) da Microsoft, pode ser explorada para contornar controles de segurança como autenticação multifator (MFA) e conformidade de dispositivo.
Contexto da vulnerabilidade
As políticas de acesso condicional são amplamente implantadas para impor requisitos de autenticação forte em locatários do Azure e Microsoft 365. Elas são frequentemente tratadas como uma salvaguarda chave, mesmo quando credenciais de usuário são comprometidas. No entanto, a pesquisa da NetSPI demonstra que, sob condições específicas, atacantes podem obter tokens de acesso ao Microsoft Graph contornando completamente a avaliação das políticas de acesso condicional.
Mecanismo de exploração
A técnica abusa da implementação personalizada do OAuth da Microsoft para Single Sign-On, especialmente como os tokens de atualização são reutilizados e intermediados entre aplicativos de primeira parte confiáveis. A vulnerabilidade surge quando o fluxo NAA é usado com o cliente ADIbizaUX, um componente amplamente utilizado do Portal do Azure para gerenciamento de identidade e acesso. O ADIbizaUX expõe suas próprias APIs não documentadas e detém um conjunto amplo de permissões do Microsoft Graph pré-consentidas, permitindo gerenciar usuários, grupos, aplicativos, diretórios e até políticas de acesso condicional.
Evidências e limites
A NetSPI descobriu que, quando um token de atualização do Portal do Azure foi intermediado para o ADIbizaUX para solicitar um token do Microsoft Graph, as políticas de acesso condicional não foram avaliadas e um token de acesso ainda foi emitido. Em contraste, operações de atualização semelhantes usando clientes habilitados para FOCI, como o Microsoft Teams, foram corretamente bloqueadas pelas CAPs assim que uma política de bloqueio foi ativada, indicando que o problema era específico ao fluxo baseado em NAA e a clientes particulares.
Impacto e alcance
Testes adicionais identificaram dois aplicativos de extensão do portal Microsoft Intune adicionais que também poderiam usar um token de atualização do Portal do Azure via NAA para obter tokens do Microsoft Graph sem aplicação de acesso condicional. Em um ataque realista, um adversário precisaria primeiro roubar um token de atualização do Portal do Azure, por exemplo, através de uma campanha de phishing ou framework adversário-no-meio direcionado a login.microsoftonline.com.
Medidas de mitigação recomendadas
A Microsoft classificou a vulnerabilidade como de severidade média e já implantou uma correção. O teste de regressão confirma que os fluxos NAA anteriormente afetados agora retornam corretamente erros de bloqueio de acesso condicional quando as políticas se aplicam. Administradores devem garantir que as atualizações de segurança sejam aplicadas imediatamente e revisar as configurações de NAA para garantir que não haja dependência de fluxos que contornem as políticas de segurança.
O que os CISOs devem fazer imediatamente
Equipes de segurança devem monitorar logs de autenticação para atividades suspeitas envolvendo o cliente ADIbizaUX e revisar as permissões concedidas a aplicativos de primeira parte. A implementação de monitoramento contínuo para tokens de acesso não autorizados é essencial para detectar tentativas de exploração antes que ocorram violações de dados significativas.