Guía para la clave de Azure Active Directory (AD) Divulgación de información de propiedad de credenciales en las API principales de servicio y aplicación

Microsoft mitigó recientemente un problema de divulgación de información, CVE-2021-42306, para evitar que algunos servicios de Azure almacenen datos de clave privada en el keyCredentials propiedad de Azure Energetic Listing (Azure Advert) Solicitud y / o Director de servicioy evitar la lectura de datos de clave privada almacenados previamente en la propiedad keyCredentials.
La propiedad keyCredentials se utiliza para configurar las credenciales de autenticación de una aplicación. Es accesible para cualquier usuario o servicio en el inquilino de Azure Advert de la organización con acceso de lectura a los metadatos de la aplicación.

La propiedad está diseñada para aceptar un certificado con datos de clave pública para su uso en la autenticación, pero los certificados con datos de clave privada también podrían haberse almacenado incorrectamente en la propiedad. El acceso a los datos de la clave privada puede conducir a un ataque de elevación de privilegios al permitir que un usuario se haga pasar por la aplicación o el director de servicio afectados.

Algunos servicios de Microsoft almacenaron incorrectamente datos de claves privadas en la propiedad (keyCredentials) mientras creaban aplicaciones en nombre de sus clientes. Hemos realizado una investigación y no hemos encontrado evidencia de acceso malintencionado a estos datos.
Los servicios de Microsoft Azure afectados por este problema se han mitigado al evitar el almacenamiento de información de clave privada de texto sin cifrar en la propiedad keyCredentials, y Azure Advertisement lo ha mitigado al evitar la lectura de datos de clave privada de texto sin cifrar que haya agregado previamente cualquier usuario o servicio en la interfaz de usuario o API.

Como resultado, el materials de clave privada de texto sin cifrar en la propiedad keyCredentials es inaccesible, lo que mitiga los riesgos asociados con el almacenamiento de este product en la propiedad.

Como medida de precaución, Microsoft recomienda a los clientes que utilizan estos servicios que tomen las medidas que se describen en «Productos / servicios afectados», a continuación. También recomendamos que los clientes que sospechen que se hayan agregado datos de clave privada a las credenciales para aplicaciones adicionales de Azure Advertisement o directores de servicio en sus entornos sigan esta guía.

Productos / servicios afectados

Microsoft ha identificado las siguientes plataformas / servicios que almacenaban sus claves privadas en la propiedad pública. Hemos notificado a los clientes que han afectado las aplicaciones de Azure Ad creadas por estos servicios y les hemos notificado a través de las notificaciones de estado del servicio de Azure para proporcionar una guía de corrección específica para los servicios que utilizan.

Producto / Servicio Mitigación de Microsoft Evaluación y remediación del impacto del cliente
Azure Automation united states of america el Clave principal de aplicación y servicio API cuando se crean cuentas de ejecución de automatización Azure Automation implementó una actualización del servicio para evitar que los datos de clave privada en texto sin cifrar se carguen en las aplicaciones de Azure Advertisement. Las cuentas Run-As creadas o renovadas después del 15/10/2021 no se ven afectadas y no requieren ninguna acción adicional. Cuentas de ejecución de automatización creadas con un Certificado autofirmado de Azure Automation entre el 15/10/2020 y el 15/10/2021 que no han sido renovados se ven afectados. Clientes por separado que traen sus propios certificados podría verse afectado. Esto es independientemente de la fecha de renovación del certificado.
Para identificar y remediar las aplicaciones de Azure Advertisement afectadas asociadas con las cuentas de ejecución de Automation afectadas, navegue hasta este Repositorio de Github
Además, Azure Automation admite la compatibilidad con identidades administradas (GA se anunció en octubre de 2021). La migración a identidades administradas desde Operate-As mitigará este problema. Por favor siga la guía aquí migrar.
El servicio Azure Migrate crea aplicaciones de Azure Ad para habilitar Dispositivos de Azure Migrate para comunicarse con los puntos finales del servicio. Azure Migrate implementó una actualización para evitar que los datos de claves privadas en texto sin cifrar se carguen en las aplicaciones de Azure Advertisement.
Dispositivos de Azure Migrate que se registraron después del 11/02/2021 y tenían Administrador de configuración del dispositivo versión 6.1.220.1 y exceptional no se ven afectados y no requieren más acciones
Dispositivos de Azure Migrate registrados antes del 02/11/2021 y / o dispositivos registrados después del 02/11/2021 donde la actualización automática estaba deshabilitada podría verse afectado por este problema.
Para identificar y remediar las aplicaciones de Azure Advertisement afectadas asociadas con los dispositivos de Azure Migrate, navegue hasta este Enlace.
Azure Site Recovery (ASR) crea aplicaciones de Azure Advert para comunicarse con ASR puntos finales de servicio. Azure Internet site Recovery implementó una actualización para evitar que se carguen datos de claves privados en las aplicaciones de Azure Advert. Clientes que utilizan la experiencia de vista previa de Azure Site Restoration «Recuperación ante desastres de VMware a Azure”Después del 11/01/2021 no se ven afectados y no requieren más acciones Los clientes que hayan implementado y registrado la versión preliminar de VMware en la experiencia de recuperación ante desastres de Azure con ASR antes del 01/11/2021 podrían verse afectados.
Para identificar y remediar las aplicaciones de AAD afectadas asociadas con los dispositivos de Azure Web-site Restoration, navegue hasta este Enlace.
Principales de servicios y aplicaciones de Azure Advert [1] Microsoft ha bloqueado la lectura de datos de claves privadas a partir del 30/10/2021. Siga la guía disponible en aad-application-credential-remediation-guide para evaluar si es necesario rotar las credenciales de la clave de la aplicación. La guía recorre los pasos de evaluación para identificar si la información de la clave privada se almacenó en keyCredentials y proporciona opciones de corrección para la rotación de credenciales.

[1] Este problema solo afecta a las aplicaciones y entidades de servicio de Azure Advert en las que se agregó product de clave privada en texto sin cifrar a keyCredential. Microsoft recomienda tomar medidas de precaución para identificar cualquier instancia adicional de este problema en las aplicaciones en las que administra las credenciales y tomar medidas correctivas si se encuentra un impacto.

¿Qué más puedo hacer para auditar e investigar aplicaciones para un uso inesperado?

Además, como práctica recomendada, recomendamos auditar e investigar las aplicaciones para un uso inesperado:

  • Audite los permisos que se han otorgado a las entidades afectadas (por ejemplo, acceso de suscripción, roles, permisos de OAuth, and so forth.) para evaluar el impacto en caso de que las credenciales fueran expuestas. Referirse a Sección de permisos de la aplicación en la guía de operaciones de seguridad.
  • Si rotó la credencial para su aplicación / entidad de servicio, le sugerimos que investigue el uso inesperado de la entidad afectada, especialmente si tiene permisos de privilegios altos para recursos confidenciales. Además, revise la guía de seguridad en acceso con privilegios mínimos para aplicaciones para garantizar que sus aplicaciones estén configuradas con el acceso con privilegios mínimos.
  • Cheque registrarse troncos Registros de auditoría de AAD y Registros de auditoría de M365, para actividades anómalas como inicios de sesión desde direcciones IP inesperadas.
  • Los clientes que tienen Microsoft Sentinel implementado en su entorno pueden aprovechar las consultas de notebook / playbook / searching para buscar actividades potencialmente maliciosas. Busque más orientación aquí.
  • Para obtener más información, consulte el guía de operaciones de seguridad.

Parte de cualquier postura de seguridad sólida es trabajar con los investigadores para ayudar a encontrar vulnerabilidades, de modo que podamos corregir cualquier hallazgo antes de que se utilice incorrectamente. Queremos agradecer a Karl Fosaaen de NetSPI quien reportó esta vulnerabilidad y Todos los guiones que trabajó con el Centro de respuesta de seguridad de Microsoft (MSRC) bajo Divulgación coordinada de vulnerabilidades (CVD) para ayudar a mantener seguros a los clientes de Microsoft.



Fuente del articulo