Azure Active Directory: Sicherheitslücke entblößt private Schlüssel

Zufällig, wie sie selbst beschreiben, stießen Penetration Tester um Karl Fosaaen vom Unternehmen NetSPI auf eine verdächtige Zeichenkette in einem App-Registration-Manifest im Azure Active Directory, das man als AAD-Nutzer in der Azure-Oberfläche einsehen kann. Was dort unterhalb des Eintrags keyCredentials mit Base64 encodiert stand, entpuppte sich nach dem Dekodieren als privater Schlüssel im PFX-Format. Um herauszufinden, wie ein solcher so öffentlich einsehbar im Manifest landen konnte, legten sie einen neuen Automation-Account an und aktivierten den „Run-As“-Haken in der Oberfläche. Das Konzept kennen Windows-Server-Administratoren ohne Azure von geplanten Aufgaben, die im Namen eines Funktionsbenutzers eingerichtet und ausgeführt werden können.

Dass jeder AAD-Nutzer die Schlüsseldaten so einfach aus einem JSON-Objekt auslesen kann, macht eine Rechteausweitung möglich. Zum Test legten die Forscher einen Account ohne Rechte an und bauten ein PowerShell-Skript, das automatisch nach den Zertifikaten des Automations-Accounts suchte. So konnten sie beweisen, dass sich ein Nutzer ohne weitere Rechte automatisiert Zugriff auf Zugangsdaten mit der Contributor-Rolle beschaffen konnte. Mit diesen Ergebnissen informierten sie am 7. Oktober 2021 das Microsoft Security Response Center (MSRC) und die Redmonder reagierten. Am 29.10. konnte NetSPI feststellen, dass Abhilfe geschaffen wurde, nachdem man vorher im Kontakt mit Microsoft stand und Details zur Lücke ausgetauscht hatte.

Quelle: Azure Active Directory: Sicherheitslücke entblößt private Schlüssel | heise online