パスワードを忘れた? アカウント作成
16550108 story
クラウド

Azure AD のマルチテナントアプリ、25% が適切なアクセス制限をしていない 8

ストーリー by headless
無制限 部門より
クラウドセキュリティ企業 Wiz の調べによると、Azure AD のマルチテナントアプリは25%が適切なアクセス制限をするよう構成されていないそうだ (Wiz のブログ記事MSRC Blog の記事)。

マルチテナントアプリの誤構成は Microsoft の複数のアプリでもみられ、Wiz が発見した Bing の脆弱性「BingBang」は「Bing Trivia」アプリの誤構成が原因となっている。Bing Trivia アプリには Bing 検索結果に表示されるカルーセルの内容を設定する機能が含まれており、検索結果を改変して XSS 攻撃を実行することで Office 365 ユーザーのデータにアクセス可能な JWT トークンが取得できたという。

Wiz は MSRC へ Bing の脆弱性を 1 月 31 日に報告し、MSRC は最初の修正を同日行っている。2 月 25 日には Microsoft の他のアプリの脆弱性も報告しており、3 月 20 日までにすべてのアプリで修正が完了したとのこと。Wiz Research は報奨金として 40,000 ドルを受け取ったそうだ。

管理者はAzure Portalでマルチテナントアプリの有無を確認できる。アクセスを意図しない組織外のアカウントでログインできるマルチテナントアプリは脆弱だ。この場合、アクセス可能なユーザーの制限条件付きアクセスの使用クレームベースの承認アクセストークン内のクレームの確認などが必要になる。Wiz では関連する Microsoft のドキュメントも参照することを推奨している。なお、組織外のアカウントでのアクセスが必要ない場合はマルチテナントの登録を解除してシングルテナントに戻せばいい。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • Azure語はマジで意味がわからんのが多い

    • by Anonymous Coward

      それじゃ、自宅サーバおじさんにクラウドおじさんが馬鹿にされるのもわかるってもんです。

      • by Anonymous Coward

        逆なのでは。
        ちゃんと設定してあれば大丈夫と言われてもおじさんは物理的に分かれてないとなんか怖いのです。

    • by Anonymous Coward

      AWS語も意味不明なものが多い

      • by Anonymous Coward

        結局新しいことを勉強するのイヤイヤ

        って老害

        • by Anonymous Coward

          同じような名前で意味が微妙に違ったりするので、
          おじさんはマルチクラウド設計時に混乱するのですよ。

      • by Anonymous Coward

        やたら3文字の略称で呼ぶわりに、1文字分「Elastic」みたいな単語で
        使われてしまって、内容を示すのが実質2文字とかいう無駄な縛りが
        困るんよねAWS…
        (Azureは見たこと無いので知らん)

      • by Anonymous Coward

        AWSの場合、他アカウントやAWS外の認証結果をそのまま使えず、意識的にアカウント内のロールに落とす必要があるので、今回のような事象は生じづらい。

        S3で勝手に読み書きされた系のインシデントが多かったのは、無認証アクセスやクロスアカウントアクセスが許可しやすく、かつファイル毎にACL設定とかいう抜け道が作りやすく検知しづらい(1ファイルだけ書き込み可のファイルが紛れてても気付きづらい)仕様だったのが原因。
        ※このレガシーな機能は徐々に無効化するように誘導中

        無論、無認証でフル権限付与みたいなこともやろうと思えばできちゃうので、権限周りは慎重に設計すべきなのはどこでも一緒。

typodupeerror

開いた括弧は必ず閉じる -- あるプログラマー

読み込み中...