- शोधकर्ताओं ने Entra OAuth में सहमति (consent) और अनुमति delegation प्रक्रिया के दुरुपयोग से Microsoft के आंतरिक एप्लिकेशन तक पहुँच संभव होने की पुष्टि की
- यह कमजोरी आंतरिक सिस्टम सुरक्षा के लिए एक नया खतरा है, क्योंकि बाहरी उपयोगकर्ताओं द्वारा अंदरूनी सेवाओं तक पहुँचने का मार्ग बन सकता है
- बुनियादी सहमति तंत्र और अपर्याप्त अनुमति सेटिंग ही मुख्य कारण हैं
- शोध में पाया गया कि केवल मौजूदा सुरक्षा नियंत्रणों पर भरोसा करने से OAuth सहमति अनुरोध और एक्सेस कंट्रोल में कमजोरी बनी रहती है
- कंपनियों और संगठनों के लिए OAuth सहमति तथा अनुमति प्रबंधन मजबूत करने की आवश्यकता सामने आई
शोध का अवलोकन एवं पृष्ठभूमि
- Microsoft Entra OAuth एक authentication/authorization framework है जिसमें उपयोगकर्ता की सहमति से अलग-अलग applications को विभिन्न सेवाओं तक पहुँच का अधिकार मिलता है
- शोधकर्ताओं ने लक्ष्य वातावरण में पाया कि जो Microsoft एप्लिकेशन सामान्यतः केवल आंतरिक रूप से ही उपलब्ध होते हैं, वे भी खास consent और permission delegation सीनारियो के दुरुपयोग पर बाहरी पहुँच के लिए खुल सकते हैं
कारण विश्लेषण
- कमजोरी OAuth सहमति अनुरोध प्रक्रिया के दुरुपयोग से पैदा होती है
- यदि application को ठीक से प्रतिबंधित न किया गया हो, तो हमलावर उपयोगकर्ता की सहमति प्राप्त करके आंतरिक संसाधन token हासिल कर सकता है
- डिफ़ॉल्ट रूप से दिए गए सहमति और अनुमति प्रदान करने के तंत्र पर्याप्त रूप से granular नहीं हैं, इसलिए कुछ आंतरिक सेवाएँ बाहरी exposure risk में आ जाती हैं
प्रभाव और जोखिम
- एक हमलावर इस कमजोरी का उपयोग करके Microsoft आंतरिक सिस्टम और एप्लिकेशन तक पहुँच बना सकता है
- यदि उसे पहुँच मिलती है, तो संवेदनशील डेटा लीक या आंतरिक फंक्शन के दुरुपयोग का जोखिम मौजूद रहता है
प्रतिक्रिया और सिफारिशें
- संगठनों को OAuth governance को दोबारा देखना चाहिए और सभी सहमति तथा अनुमति आवंटन प्रक्रियाओं को कठोरता से नियंत्रित करना चाहिए
- कम से कम अधिकार सिद्धांत (least privilege) के आधार पर, सहमति से मिले संसाधन और अनुमति की सीमा को स्पष्ट रूप से सीमित करने की जरूरत है
- नियमित रूप से OAuth एप्लिकेशन ऑडिट और सहमति प्रबंधन प्रक्रिया स्थापित करके नियंत्रणों को मजबूत करने की आवश्यकता है
अभी कोई टिप्पणी नहीं है.