Schwachstelle CVE-2021-42306 in Microsoft Azure AD

Publiziert am 19. November 2021 von Günter Born

[English]Microsoft hat zum 17. November 2021 eine Sicherheitswarnung veröffentlicht, in der eine Schwachstelle in Microsoft Azure AD veröffentlicht wird. Diese ermöglicht es, Informationen aus dem Microsoft Azure Actice Directory (AD) abzurufen.

Anzeige

Ich bin von Microsoft per Mail in einem Security Bulletin auf das Problem aufmerksam geworden. Die Schwachstelle CVE-2021-42306 wird als important eingestuft.

***************************************************************
Title: Microsoft Security Update Revisions
Issued: November 17, 2021
***************************************************************

Summary
=======

The following CVE has been published to the Security Update Guide.
================================================================
* CVE-2021-42306

CVE-2021-42306 | Azure Active Directory Information Disclosure Vulnerability
– Version: 1.0
– Reason for Revision: Information published.
– Originally posted: November 17, 2021
– Updated: N/A
– Aggregate CVE Severity Rating: Important

Die Schwachstelle CVE-2021-42306 ermöglicht die Offenlegung von Informationen und tritt auf, wenn ein Benutzer oder eine Anwendung ungeschützte private Schlüsseldaten als Teil eines Authentifizierungszertifikats keyCredential auf eine Azure AD-Anwendung oder ein Dienstprinzipal hochlädt (was nicht empfohlen wird). Diese Sicherheitsanfälligkeit ermöglicht einem Benutzer oder Dienst im Mandanten mit Anwendungslesezugriff, die privaten Schlüsseldaten zu lesen, die der Anwendung hinzugefügt wurden.

Die Sicherheitsanfälligkeit in Azure AD wurde behoben, indem die Offenlegung von privaten Schlüsselwerten, die der Anwendung hinzugefügt wurden, verhindert wurde. Microsoft hat die Dienste identifiziert, die diese Sicherheitsanfälligkeit hervorrufen können, sowie die Maßnahmen, die Kunden ergreifen sollten, um sich zu schützen.

Ausführende Automation-Konten, die zwischen dem 15.10.2020 und dem 15.10.2021 mit einem selbstsignierten Azure Automation-Zertifikat erstellt und nicht erneuert wurden, sind betroffen. Unabhängig davon könnten Kunden, die eigene Zertifikate verwenden, betroffen sein. Dies gilt unabhängig vom Verlängerungsdatum des Zertifikats. Um betroffene Azure AD-Anwendungen, die mit betroffenen ausführenden Konten verbunden sind, zu identifizieren und zu beheben, navigieren Sie bitte zu diesem [Link zum Github Repo]. Darüber hinaus unterstützt Azure Automation die Unterstützung von verwalteten Identitäten (GA angekündigt im Oktober 2021). Die Migration von ausführenden Konten auf verwaltete Identitäten entschärft dieses Problem.

Anzeige

Microsoft gibt in CVE-2021-42306 weitere betroffene Dienste an, schreibt aber, dass eine Ausnutzung unwahrscheinlich sei. Sicherheitsforscher der auf Penetrationstests für Unternehmen spezialisierten Firma NetSPI, die die Schwachstelle identifiziert haben, schreiben hier, dass ein Angreifer den Fehler ausnutzen könnte, um die Berechtigungen zum Mitwirkenden eines beliebigen Abonnements mit einem Automatisierungskonto zu erweitern und auf Ressourcen in den betroffenen Abonnements zuzugreifen. Security Week hat einen zusammenfassenden Artikel zum Thema veröffentlicht.

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Azure, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.