Descripció
Es tracta d'una vulnerabilitat de divulgació dinformació. Aquesta es manifesta quan un usuari o una aplicació carrega dades de clau privada sense protecció com a part d'una clau de certificat de autenticació keyCredential en una aplicació d'Azure AD o una entitat de servei (que no es recomana).
Aquesta vulnerabilitat permet que un usuari o servei a l'inquilí amb accés de lectura de l'aplicació llegeixi les dades de clau privada que es van afegir a l'aplicació.
Serveis afectats
Microsoft ja ha notificat les notificacions d'estat del servei d'Azure als usuaris.
Els serveis afectats són:
- Azure Automation
- Azure Migrate
- Azure Site Recovery
- Azure AD (només afecta les aplicacions on es va afegir material de clau privada en text sense xifrar amb keyCredential)
Estat de la vulnerabilitat
Microsoft Azure AD ja ha abordat aquesta vulnerabilitat en evitar la divulgació de qualsevol valor de clau privada agregat a laplicació.
Microsoft també ja ha identificat els serveis que podrien manifestar aquesta vulnerabilitat i els passos que els clients han de prendre per protegir-se.
A més, es recomana auditar i investigar les aplicacions per a un ús inesperat:
- Auditar els permisos que s'han atorgat a les entitats afectades (per exemple, accés de subscripció, rols, permisos d'OAuth, etc.)
- Verificar si s'ha trencat la credencial per a la vostra aplicació / entitat de servei.
- Verificar els registres d'inici de sessió, els registres d'auditoria de l'AAD i els registres d'auditoria de M365.
- Els clients que tenen Microsoft Sentinel implementat al seu entorn poden aprofitar les consultes de notebook/playbook/hunting per buscar activitats potencialment malicioses.
