Azure Active Directory (Azure AD) de Microsoft, el servicio de administración de identidad y acceso (IAM) basado en la nube de Microsoft, tiene una falla grave que permitió a los actores de amenazas instalar puertas traseras.
Esto es de acuerdo con una extensa investigación de la Unidad Contra Amenazas de Secureworks (CTU), que dice que el problema también podría permitir que los piratas informáticos modifiquen los derechos de acceso para evitar la autenticación multifactor y bloquear el acceso de administrador sin un registro adecuado, y recopilar información sobre configuraciones de políticas para habilitar futuros ataques
Azure AD admite varios métodos de autenticación, mientras que la versión premium también admite políticas de acceso condicional (CAP) que otorgan o bloquean el acceso según diferentes criterios, como el cumplimiento del dispositivo o la ubicación del usuario. El servicio IAM es el que almacena esta configuración, lo que permite que los CAP se modifiquen a través del portal, PowerShell o llamadas a la API.
Una API
Los investigadores se propusieron ver qué API permiten la edición de la configuración de CAP y encontraron tres.
Uno de los tres, llamado AADGraph, era el único que permitía a los usuarios modificar todas las configuraciones de CAP, incluidos los metadatos. Esto, dicen los investigadores, permite a los administradores manipular cosas como las marcas de tiempo de creación y modificación, y dado que las modificaciones realizadas con AADGraph no se registraban correctamente, la integridad y el no repudio de las políticas de Azure AD estaban en riesgo.
Los investigadores compartieron sus hallazgos con Microsoft a fines de mayo de 2022, que confirmó los hallazgos un mes después, pero afirmó que no se trataba de un error, sino de una característica. Sin embargo, un año después, Microsoft notificó a los investigadores de CTU que planea realizar cambios que mejorarán los registros de auditoría y restringirán las actualizaciones de CAP a través de AADGraph.
Secureworks también destaca que Microsoft ha estado tratando de desaprobar la API AADGraph «durante años». Por el momento, el retiro está programado para el 30 de junio de 2023. Microsoft eliminó la documentación pública de la API de AADGraph.