Nieuws  
 

Onderzoekers van CyberArk hebben een kwetsbaarheid gevonden in het login-systeem van Microsoft, waardoor het mogelijk is om Azure accounts over te nemen. Het lek betreft specifieke Microsoft OAuth 2.0 applicaties, waarbij het mogelijk is om authenticatie-tokens aan te maken met gebruikerstoestemming. Aanvallers kunnen op die manier toegang krijgen en controle over een account overnemen. Het lek is eind oktober gerapporteerd bij Microsoft en drie weken later gerepareerd. CyberArk heeft sinds gisteren een scanning-tool online gezet waarmee iedereen zelf kan ontdekken of er kwetsbare applicaties in een Azure-omgeving draaien.

OAuth is een autorisatie-protocol waarmee websites en applicaties toegang krijgen tot gebruikersinformatie van andere sites, zonder daadwerkelijk secrets of wachtwoorden te delen. Het wordt door bedrijven veel gebruikt om gegevens te delen met andere apps en sites. De nieuwe generatie van het OAuth-protocol, OAuth2, biedt toegang tot HTTP-services via een client (zoals een site of mobiele app). Het protocol zelf is goed gebouwd, maar een verkeerde implementatie of verkeerd gebruik en configuratie kan een schadelijk effect hebben. Tijdens het autorisatieproces worden tokens aangemaakt voor de specifieke toestemming. De kwetsbaarheid leidde ertoe dat deze tokens konden worden gestolen.

De onderzoekers van CyberArk vonden tientallen subdomeinen die verbonden zijn met de Microsoft-applicaties waarvoor de tokens worden aangemaakt. Deze zijn gemeld zodat Microsoft maatregelen kon nemen, maar de beveiligingsspecialist waarschuwt dat er nog meer kunnen zijn. Vandaar dat nu de scanning-tool beschikbaar wordt gesteld.

Plaats op:
Datum: 4 december 2019
Bron: CyberArk
Gerelateerde artikelen  
15-08-2019 Nieuws CyberArk sluit zich aan bij Microsoft Intelligent Security Association
03-01-2020 Nieuws Thales en Microsoft breiden samenwerking uit
13-03-2018 Nieuws CyberArk neemt Vaultive over
14-07-2006 Nieuws Fortinet ontdekt kritieke kwetsbaarheid die diverse Microsoft Office producten …
17-11-2017 Nieuws Bomgar maakt integratie in Azure mogelijk
 
 

- partners -

 
 
 
 
 
� 2007 - 2020 Vakwereld. All rights reserved Pagina geladen in 0,84 seconden.