2025. 08. 16., 12:52

Az Entra OAuth hibái miatt könnyen feltörhetőek a Microsoft belső rendszerei

Az Entra OAuth hibái miatt könnyen feltörhetőek a Microsoft belső rendszerei
Munkanapnak indult, MI-sebezhetőség lett belőle. Ez a történet azt szemlélteti, mennyire egyszerű lehet akár külsős személyként is hozzáférni a Microsoft legbelsőbb alkalmazásaihoz – egy banális figyelmetlenséget kihasználva.

Amikor az unalom veszélyt szül

Unalmas dokumentációírás közben ráakadtam egy aka.ms linkre. Ezek a rövidítők minden Microsoft-dolgozó számára ismerősek, hiszen vállalati szinten is használják őket. Eszembe jutott, mi történik, ha egyszerűen meglátogatom magát az aka.ms címet? Egy bejelentkezési oldal fogadott, vélhetően dolgozóknak. Természetesen, a saját fiókommal nem engedett be – tenanton belüli azonosítás szükséges hozzá.

De kicsit tovább ásva egy másik érdekes linket találtam az eng.ms domainen. Ismét egy bejelentkező oldal, ahol – meglepő módon – már lehetőségem volt a saját Microsoft 365 fiókommal belépni. Egy engedélyezési ablak jelent meg, hogy engedélyt kérek az adataimhoz. Elfogadtam, majd egy 500-as hibakód jelent meg, de legalább valameddig bejutottam. Ez viszont felkeltette az érdeklődésemet: hova vezet, ha tovább kísérletezem?

Bejutás a Microsoft Engineering Hubba

Subdomain-vadászatba kezdtem az eng.ms-nél, míg rá nem bukkantam a rescue.eng.ms-re. Újabb bejelentkezés, újabb engedélyezési ablak, és most végleg bent vagyok. A képernyő tetején ott volt a saját nevem – egyértelmű jele annak, hogy nem kellene itt lennem. Az Engineering Hub belső mérnöki portál, rengeteg belső dokumentummal és információval. Egy rutinvizsgálat során több mint 13 ezer jelszavas találat bukkant fel, mind belső leírásokból.

Ezen a ponton léptem vissza, és jelentettem a hibát a Microsoft Security Response Centre-nek – de addigra már tudtam, hogy ez a hibás konfiguráció akár más rendszereiket is érintheti.

Multi-tenant alkalmazások veszélyei

Entra ID-ben alkalmazásokat regisztrálnak, amelyek lehetnek single-tenantek (csak a saját szervezetből engednek belépést) vagy multi-tenantek (több tenantból is fogadnak felhasználókat). Utóbbiak különösen kockázatosak lehetnek, mert – helytelenül beállítva – bárki beléphet akár személyes Microsoft-fiókkal is.

Az Engineering Hub is multi-tenant alkalmazás volt, így a rendszer nem ellenőrizte, hogy jogosult vagyok-e. A hitelesítési folyamat során az alkalmazás a /common végpontra irányított, ahol az én tenantom bocsátotta ki a belépési tokenemet. Így beléptetett, de maga az alkalmazás soha nem ellenőrizte, hogy a token jogosult-e ténylegesen a rendszerhez.

Nem hagyható figyelmen kívül, hogy a fejlesztők gyakran nem is sejtik, hogy multi-tenant mód van beállítva; ilyenkor a /common vagy /organizations autentikációs végpont enged be akárkit a saját tenantjából.


A Microsoft támadási felületének feltérképezése

Kicsit továbbmentem: több tízezer Microsoft-hoz köthető subdomaint vizsgáltam (microsoft.com, azure.com, office.com stb.). Összesen 1406 alkalmazás használt Entra ID-t, ezek közül 176 volt multi-tenant.

Sok alkalmazásnál a fejlesztők összekeverték a single-tenant megoldást, és beállították a / végpontot, miközben az alkalmazás maga multi-tenant maradt. Így egy egyszerű konfigurációs hiba miatt szélesre tárult a vállalati környezet ajtaja.

Korábbi kutatások is igazolták: ha multi-tenant alkalmazásnál az autentikációs url-t vagy végpontot módosítod (például Burp Suite-tel), a saját tenantodból kiadott belépési tokennel léphetsz be. Mégis, több alkalmazás kért plusz jóváhagyást vagy hozzáférési engedélyt bizonyos belső erőforrásokhoz, amit különféle skriptekkel meg lehetett kerülni; így minden multi-tenant alkalmazást egyesével tesztelhettem.

Belső Microsoft alkalmazások kompromittálása

Összesen 22 belső Microsoft-alkalmazáshoz férhettem hozzá. Ezek között volt kockázatnyilvántartó, Security Intelligence Platform, Service Principal- és felhasználókereső, logfile-okban Authorization Code-ok, vagy épp licence-generáláshoz szükséges privát kulcs részletek.

Kiemelhető még a Média Létrehozó szolgáltatás (Media Creation), amelyen keresztül licencekulcs-generálásra, sőt akár távoli kódfuttatásra (RCE) is lehetőség adódott egy fejlesztői eszköz manipulációján keresztül.

További rendszerek: Engage ACE Hub, Responsible AI Ops Platform, Microsoft Internal Billing Account (BAMI), CPET webszolgáltatás, HxSDK dokumentáció, Hardverleltár API, Elektronikus Címkézés menedzsment, minőségellenőrző, Bing Ads diagnosztika, Secure Devices Portal, Azure előfizetés-hub, stb.

Ebből adódóan már egyetlen helytelen beállítás egy ekkora szervezetben beláthatatlan következményekkel járhat.

Mit tehetsz – és veszélyben vagy-e?

A sebezhetőség napjainkban is létezik: a saját ügyfeleim 2%-ánál is találtam hasonló hibákat. A legfontosabb tanulságok:

  • Csak akkor használj multi-tenant alkalmazásokat, ha tényleg muszáj!
  • Ha mégis, az alkalmazás logikájában mindig ellenőrizd a tokenben az iss (issuer) vagy tid (tenant ID) értékét!

Ehhez gyors PowerShell-szkript is készült, amellyel néhány másodperc alatt felmérheted saját Entra környezeted potenciálisan sebezhető alkalmazásait.

Jutalom vagy csalódás?

2024 novemberében négy esetet jelentettem a MSRC-nek, majd 2025 januárjára további 17 alkalmazást fedeztem fel. Harmadik helyet értem el a versenyben – a díjazás összesen… hát, semmi jelentős. Viszont a Reward Support Tool alkalmazás tesztelésekor egy vicces menüpont fogadott: egyszerűen bármelyik PayPal-fiókra lehetne kifizetést indítani – legalább szimbolikusan megmaradt az „végtelen pénz hiba” (infinite money glitch).

2025, adminboss, research.eye.security alapján

Legfrissebb posztok

MA 09:25

A francia hőhullám sokkja: riasztó halálozási adatok

Franciaországot június végén történelmi hőhullám sújtotta, amelynek során a halálozások száma soha nem látott mértékben megugrott...

MA 09:13

Az agy rejtett kulcsa: a munkamemória szüli a tudatot?

💡 Előfordul, hogy valaki átlép egy ajtón, és azonnal elfelejti, miért is ment be a helyiségbe...

APP
MA 09:12

APPok, Amik Ingyenesek MA, 7/4

Fizetős iOS appok és játékok, amik ingyenesek a mai napon.     ICD-10 Dictionary (iPhone/iPad)Az alkalmazás segítségével egyszerűen kereshetünk ICD-10 kód, betegség neve vagy akár tünet alapján is...

MA 09:01

Az MI-vezérek egymás közt tárgyalnak, a dolgozók csak pislognak?

Egy hétköznapi munkanap során egy alkalmazott egy zavaros üzenetet kap a főnökétől...

MA 08:24

A Play Áruház gyűjteményeihez hamarosan egyedi widgetek érkeznek

A Google hamarosan egyesével is elérhetővé teszi a különböző gyűjteményeket a widgetek között – így végre mindenki csak azokat a kategóriákat teheti ki, amelyek számára a legfontosabbak...

MA 08:12

A Google Névjegyek érintéses megosztást és frissített Saját adatok lapot kap

📱 Érdemes észrevenni, hogy a Google egyre gördülékenyebb élményt kínál azoknak, akik gyorsan, akadályok nélkül szeretnének adatokat megosztani telefonjukról...

MA 08:02

A NetNut proxyhálózatát megbénították, kétmillió fertőzött eszközt lekapcsoltak

🚨 Fontos kérdés, hogy mennyire könnyen válhatnak hétköznapi otthoni eszközök – mint az okostelevíziók vagy a streamingboxok – hackerek hálózatának részévé...

MA 07:49

Az AdaptHealth szerint édes beszéddel jutottak a felhőbe, vitték a betegadatokat

Fontos kérdés, hogy mennyire bízhatunk a külsős partnerekben, amikor az egészségügyi adatainkra vigyáznak...

MA 07:25

Az atomhulladék-akkuk lassú töltéssel évtizedekig éltethetik a drónrajokat

💥 Erre utal többek között az, hogy amerikai kutatók forradalmi, kompakt nukleáris akkumulátorokon dolgoznak, amelyek több évtizedig képesek folyamatosan áramot biztosítani...

MA 07:13

A végzetes hiba, ami miatt Amerika beleroskad a hőségbe

🔥 Az Egyesült Államokban a házakat, iskolákat és kórházakat úgy tervezték a légkondicionálásra, hogy szinte semmilyen természetes védelem nincs beépítve a hő ellen...

MA 07:01

A tudósok visszafordították az időt – áttörés a kvantumfizikában

⏲ Nehéz elhinni, de a tudósoknak sikerült olyan eljárást kidolgozniuk, amellyel a kvantumrendszerek viselkedése mintha visszafelé haladna az időben...

MA 06:49

Az enyhülő kamatemelési félelemre szárnyalnak a kriptók

Az elmúlt hét igazán kedvezően alakult a kriptopiac számára – a Bitcoin újra stabilizálódni látszik, miután az Egyesült Államok vártnál gyengébb munkaerőpiaci adatai visszavetették a kamatemelési várakozásokat...

MA 06:37

A Rubin Obszervatórium tízéves univerzum-mozija garantáltan letaglóz

Egy chilei hegytetőn végre elindult minden idők legnagyobb digitális kamerája, hogy egy évtizeden át minden éjjel rögzítse a déli égbolt dinamikus történéseit...

MA 06:24

Az amerikai élettartam új történelmi rekordra készül

Az Egyesült Államokban 2025-ben rekord alacsony szintre csökkent a lakosság halálozási aránya, mivel minden korosztályban javultak az életkilátások, és drámaian visszaestek a túladagolásos halálesetek is...

MA 06:06

Történelmi események a mai napon (Július 4.)

Amerikában elfogadják a Függetlenségi nyilatkozatot, megkezdődik a történelem legnagyobb páncéloscsatája Kurszknál, és a brit Parlament elé kerül India és Pakisztán függetlenségének terve...

MA 06:01

Az MI lehagyta a szabályozást – figyelmeztetnek Európa bankárai és felügyelői

⚠ Az európai döntéshozók egyre nagyobb dilemmával néznek szembe: miként támogassák a mesterséges intelligencia gyors terjedését anélkül, hogy veszélybe sodornák a pénzügyi piacok stabilitását?..

péntek 18:31

A Google 4,1 milliárd eurós rekordbírságot kapott – meg se kottyan

Az Európai Unióban évek óta tartó, elhúzódó versenyjogi harc végére került pont: a Google-nek rekordösszegű, 4,1 milliárd eurós bírságot kell kifizetnie...

péntek 18:02

A Medicare 50 dolláros GLP-1-jei örökre megváltoztathatják Amerikát

Július elsejétől a Medicare támogatja az új generációs GLP-1 testsúlycsökkentő gyógyszereket, már havi 50 dolláros (kb...

péntek 17:31

A Google és az FBI szétverte a 2 milliós NetNut-botnetet

A NetNut néven futó lakossági proxyhálózatot kemény csapás érte, amikor nagy technológiai cégek és az amerikai hatóságok együtt léptek fel az online bűnözés ellen...

péntek 17:02

Az új PamStealer nem a szokványos macOS-kártevő

🔒 A PamStealer nevű, most felfedezett macOS-kártevő alaposan feladja a leckét az Apple gépeket használóknak...

péntek 16:31

Az első antarktiszi dinoszaurusz a valaha élt óriások közé tartozott

Több mint negyven évvel ezelőtt egy hatalmas állat gerincdarabját emelték ki az antarktiszi jég fogságából...

péntek 16:02

Az MI-t bevezető cégek idővel még több embert vesznek fel

Tipikus eset, amikor mindenki attól tart, hogy az MI elterjedése elveszi a munkahelyeket, de a számok mást mutatnak: az MI-re nagyban támaszkodó vállalatok valójában bővítik a munkatársi létszámot...

péntek 15:32

Az űripar nagy rablása: a SpaceX tőzsdére lépésének csavarja

🚀 Majdnem elképzelhetetlen, hogy ne hallottunk volna arról, mekkora sikert aratott a SpaceX a tőzsdére lépésével...

péntek 14:31

A Webb-űrtávcső sosem látott, rejtélyes anyagot találhatott Plútón és Titánon

A James Webb űrteleszkóp legújabb megfigyelései szerint egy rejtélyes hullámhossz hiányzik a törpebolygó, a Plútó és a Szaturnusz legnagyobb holdja, a Titán felszínéről visszaverődő fény spektrumából...

péntek 12:01

Az óceánok júniusi hőrekordja: erősödő El Niño fűti a vizeket

A Föld óceánjai idén júniusban történelmi hőmérsékleti rekordot döntöttek, ráadásul éppen akkor, amikor az El Niño hatása is felerősödik a Csendes-óceánon...

péntek 11:31

A csendes szuperszonikus utasszállítók hamarosan átrepülhetnek amerikai városok felett?

A több mint öt évtizede érvényben lévő tiltás, amely megakadályozta a szuperszonikus utasszállítók áthaladását az Egyesült Államok városai felett, hamarosan a múlté lehet...

péntek 11:01

A brutális hőség az amerikai áramhálózatokat és a július 4-i utazást fenyegeti

🔥 Amerikát rendkívüli hőhullám sújtja, amely a középső és keleti régiókban éri el csúcspontját, és várhatóan egészen a függetlenség napjáig kitart...

péntek 10:49

A villámtrükk, amivel 3 másodperc alatt ellopják a Microsoft 365-fiókod

Elég csak egy ártatlannak tűnő linket behúzni a böngészőbe, és három másodperccel később már jogosulatlanul hozzáférhet valaki a Microsoft 365-fiókodhoz, miközben semmilyen szokványos biztonsági jelzés nem figyelmeztet előre a veszélyre...

péntek 10:37

A denevérrel ébredt, 11 éves kanadai fiú belehalt a veszettségbe

🦇 Egy 11 éves ontariói fiú tragikus körülmények között veszettségben vesztette életét, miután egy denevér éjszaka az arcán leszállt...