Penyalahgunaan Entra OAuth untuk Akses Aplikasi Internal Microsoft

 (research.eye.security)
2 poin oleh GN⁺ 2025-08-11 | Belum ada komentar. | Bagikan ke WhatsApp
  • Peneliti mengidentifikasi adanya kemungkinan akses ke aplikasi internal Microsoft dengan mengeksploitasi proses persetujuan dan delegasi Entra OAuth
  • Kerentanan ini menjadi ancaman baru bagi perlindungan sistem internal, karena menampilkan kemungkinan pengguna eksternal memperoleh jalur akses ke layanan internal
  • Mekanisme persetujuan dasar dan pengaturan izin yang tidak memadai merupakan akar penyebab utama
  • Hasil penelitian menunjukkan adanya celah pada permintaan persetujuan dan kontrol akses OAuth yang tidak tertangani hanya dengan kontrol keamanan yang ada
  • Perusahaan dan organisasi mengonfirmasi kebutuhan untuk memperkuat pengelolaan persetujuan dan izin OAuth

Gambaran Penelitian dan Latar Belakang

  • Microsoft Entra OAuth adalah kerangka otentikasi/otorisasi di mana berbagai aplikasi memperoleh hak akses ke layanan yang berbeda berdasarkan persetujuan pengguna
  • Peneliti menemukan bahwa pada lingkungan target, aplikasi Microsoft yang biasanya hanya dapat diakses secara internal menjadi dapat diakses dari luar saat skenario persetujuan dan delegasi izin tertentu disalahgunakan

Analisis Akar Masalah

  • Kerentanan terjadi karena penyalahgunaan proses permintaan persetujuan OAuth
  • Jika aplikasi tidak dibatasi dengan benar, penyerang dapat memperoleh token sumber daya internal dengan memancing persetujuan pengguna
  • Mekanisme persetujuan dan pemberian izin yang disediakan secara bawaan tidak cukup terperinci, sehingga beberapa layanan internal berisiko terekspos ke luar

Dampak dan Risiko

  • Pengguna berbahaya berpotensi mengakses sistem internal dan aplikasi Microsoft melalui celah ini
  • Jika akses diberikan, ada risiko kebocoran data sensitif atau penyalahgunaan fitur internal

Tindakan dan Rekomendasi

  • Organisasi perlu meninjau ulang kerangka pengelolaan OAuth dan mengendalikan secara ketat seluruh proses persetujuan serta alokasi izin
  • Pendekatan yang membatasi cakupan sumber daya dan rentang izin yang disetujui berdasarkan prinsip least privilege perlu diterapkan
  • Perlu dibangun audit berkala aplikasi OAuth dan proses manajemen persetujuan untuk memperkuat pengelolaan

Bacaan terkait

Belum ada komentar.

Belum ada komentar.