Microsoft, saldırganların yetkilerini yükseltmesine ve potansiyel olarak hedefin hesabını tamamen ele geçirmesine olanak tanıyabilecek bir Azure Active Directory (Azure AD) kimlik doğrulama zafiyetini giderdi.
Bu zafiyeti bulan Descope ekibi ilgili zafiyeti nOAuth olarak adlandırdı.
Bu güvenlik açığı, saldırganların belirli bir kullanıcının yetkilendirme belirteçlerini çalmasına ve sonuç olarak da onun kimliğine bürünmesine olanak sağlar. Bu, saldırganların kişisel verilere, iş e-postalarına ve diğer hassas bilgilere erişimini sağlar. Bu durum, hem kişisel kullanıcıları hem de işletmeleri ciddi şekilde tehlikeye atabilir.
Bu taktik, kurbanın bir Microsoft hesabı bile olmadığında da kullanılabilir ve Azure AD, e-posta değişikliklerinin doğrulanmasını gerektirmediğinden uygulanabilir bir saldırı yöntemiydi.
Descope ekibi ilgili zafiyet ile ilgili Youtube üzerinden video paylaşımı yaparak detaylı bir şekilde anlattı.
Descope zafiyeti Microsoft’a 11 Nisan 2023’de bildirdi, Microsoft bugün yaptığı güncelleme ile zafiyeti düzeltti.
Kaynak: BleepingComputer