Microsoft Azureアカウント、およびMicrosoftアカウントに、アカウントの乗っ取りを可能にする脆弱性「BlackDirect」が存在することが明らかになった。BlackDirectは、イスラエルのセキュリティ企業CyberArkの研究者によって発見され、10月にマイクロソフトに報告されており、マイクロソフトは11月の更新パッチで当該の脆弱性を修正している。
BlackDirectの原因となっていたのは、マイクロソフトのOAuthアプリケーションに関連する不具合で、一部のアプリケーションがOAuth認証の際に使用するホワイトリストのサブドメインが誰でも利用できる状態になっており、攻撃者によるアクセストークンの発行が可能になっていた。
攻撃者は、アクセストークンを発行するためのURLをクリックさせたり、あらかじめ用意したWebサイトにアクセスさせたりすることによってトークンを発行させ、それを悪用することで意図しないアプリケーションの権限昇格や、アカウントの乗っ取りが発生してしまう。
BlackDirectの脆弱性は、前述のようにすでにマイクロソフトによって修正されているが、CyberArkはこのような脆弱性による被害を防ぐために、
- アプリケーションに設定されたリダイレクトURLが、すべて自分の所有するものであることを確認する
- 不要なリダイレクトURLを削除する
- OAuthアプリケーションが要求する権限が、必要最小限のものであることを確認する
- 使用していないアプリケーションを無効にする
という対策を提案している。
