[English]Microsoft hat zum 17. November 2021 eine Sicherheitswarnung veröffentlicht, in der eine Schwachstelle in Microsoft Azure AD veröffentlicht wird. Diese ermöglicht es, Informationen aus dem Microsoft Azure Actice Directory (AD) abzurufen.
Anzeige
Ich bin von Microsoft per Mail in einem Security Bulletin auf das Problem aufmerksam geworden. Die Schwachstelle CVE-2021-42306 wird als important eingestuft.
***************************************************************
Title: Microsoft Security Update Revisions
Issued: November 17, 2021
***************************************************************
Summary
=======
The following CVE has been published to the Security Update Guide.
================================================================
* CVE-2021-42306
Anzeige
– CVE-2021-42306 | Azure Active Directory Information Disclosure Vulnerability
– Version: 1.0
– Reason for Revision: Information published.
– Originally posted: November 17, 2021
– Updated: N/A
– Aggregate CVE Severity Rating: Important
Die Schwachstelle CVE-2021-42306 ermöglicht die Offenlegung von Informationen und tritt auf, wenn ein Benutzer oder eine Anwendung ungeschützte private Schlüsseldaten als Teil eines Authentifizierungszertifikats keyCredential auf eine Azure AD-Anwendung oder ein Dienstprinzipal hochlädt (was nicht empfohlen wird). Diese Sicherheitsanfälligkeit ermöglicht einem Benutzer oder Dienst im Mandanten mit Anwendungslesezugriff, die privaten Schlüsseldaten zu lesen, die der Anwendung hinzugefügt wurden.
Die Sicherheitsanfälligkeit in Azure AD wurde behoben, indem die Offenlegung von privaten Schlüsselwerten, die der Anwendung hinzugefügt wurden, verhindert wurde. Microsoft hat die Dienste identifiziert, die diese Sicherheitsanfälligkeit hervorrufen können, sowie die Maßnahmen, die Kunden ergreifen sollten, um sich zu schützen.
Ausführende Automation-Konten, die zwischen dem 15.10.2020 und dem 15.10.2021 mit einem selbstsignierten Azure Automation-Zertifikat erstellt und nicht erneuert wurden, sind betroffen. Unabhängig davon könnten Kunden, die eigene Zertifikate verwenden, betroffen sein. Dies gilt unabhängig vom Verlängerungsdatum des Zertifikats. Um betroffene Azure AD-Anwendungen, die mit betroffenen ausführenden Konten verbunden sind, zu identifizieren und zu beheben, navigieren Sie bitte zu diesem [Link zum Github Repo]. Darüber hinaus unterstützt Azure Automation die Unterstützung von verwalteten Identitäten (GA angekündigt im Oktober 2021). Die Migration von ausführenden Konten auf verwaltete Identitäten entschärft dieses Problem.
Microsoft gibt in CVE-2021-42306 weitere betroffene Dienste an, schreibt aber, dass eine Ausnutzung unwahrscheinlich sei. Sicherheitsforscher der auf Penetrationstests für Unternehmen spezialisierten Firma NetSPI, die die Schwachstelle identifiziert haben, schreiben hier, dass ein Angreifer den Fehler ausnutzen könnte, um die Berechtigungen zum Mitwirkenden eines beliebigen Abonnements mit einem Automatisierungskonto zu erweitern und auf Ressourcen in den betroffenen Abonnements zuzugreifen. Security Week hat einen zusammenfassenden Artikel zum Thema veröffentlicht.
Anzeige