Hacker News 中文摘要

RSS订阅

滥用Entra OAuth获取乐趣并访问微软内部应用程序 -- Abusing Entra OAuth for fun and access to internal Microsoft applications

原文链接 | HN讨论 | 2025-08-10 11:45:17

文章摘要

文章揭示了通过滥用Microsoft的Entra OAuth机制,作者意外获得了超过22个内部Microsoft服务的访问权限。这一发现源于作者在编写文档时注意到Microsoft的URL短链接服务aka.ms,并进一步探索其潜在漏洞。文章警示读者,类似的漏洞可能使其他人也面临安全风险。

文章总结

标题:滥用Entra OAuth获取微软内部应用访问权限

这篇文章详细描述了我如何通过滥用Entra OAuth协议,意外获得了超过22个微软内部服务的访问权限,并探讨了这种漏洞可能对其他用户造成的威胁。

在一次无聊的文档编写过程中,我偶然发现了一个aka.ms链接,aka.ms是微软的URL缩短服务。出于好奇,我尝试访问了https://aka.ms,结果跳转到了一个登录页面。虽然我无法使用自己的微软账户登录,但这一发现引发了我的兴趣。

随后,我通过一个名为akaSearch的索引服务,发现了一个指向eng.ms域的链接。尝试登录后,我意外收到了一个同意提示,要求我授权分享我的基本资料。点击同意后,虽然出现了500服务器错误,但这让我意识到这个应用可能并不应该被我访问。

通过进一步的子域名枚举,我找到了一个名为rescue.eng.ms的子域名,并成功使用自己的微软365账户登录。这个“工程中心”似乎是微软工程师的内部门户,我发现自己可以访问大量内部文档,甚至搜索到了与密码管理相关的13,252条结果。我立即停止了操作,并向微软安全响应中心(MSRC)报告了这一漏洞。

为了理解这一漏洞的成因,我深入研究了Entra ID如何处理多租户应用的认证和授权。多租户应用允许来自任何租户的用户访问,而“工程中心”被配置为多租户应用,导致我能够通过自己的租户进行认证并获得访问令牌。这一过程中,应用逻辑并未检查令牌的发行者(iss)和租户ID(tid),从而让我得以绕过权限控制。

通过进一步的研究,我发现微软内部共有22个应用存在类似的配置问题,暴露了大量内部数据。例如,“风险登记”应用包含了敏感信息,而“安全情报平台”则提供了对微软租户内服务主体名称和用户账户的搜索功能。此外,我还发现了一个包含用户授权代码的日志文件。

这一研究揭示了大型环境中单一配置错误可能带来的巨大风险。问题的根源在于应用开发者和负责注册应用的团队之间的责任划分不清,双方都认为对方已经正确完成了配置。

为了帮助其他用户检测类似漏洞,我编写了一个PowerShell脚本,用于快速识别Entra环境中的所有多租户应用及其重定向URI。建议用户在使用多租户应用时,务必检查访问令牌中的“iss”或“tid”声明,以确保应用逻辑的安全性。

最后,我向MSRC提交了多个漏洞报告,并在2025年第一季度获得了MSRC研究员排行榜的第三名。虽然这次研究并未让我“一夜暴富”,但它再次证明了微软系统中的漏洞仍然存在,甚至可能被滥用为“无限金钱漏洞”。

关于Eye Security
我们是一家欧洲网络安全公司,专注于24/7威胁监控、事件响应和网络保险。我们的研究团队通过主动扫描和威胁情报操作,保护客户及其供应链的安全。

评论总结

评论内容总结:

  1. 对微软安全策略的担忧

    • 评论1和评论2对微软的云服务和AI技术应用表示担忧,认为其可能带来安全隐患。
    • 关键引用:
      • "Now remember these dimwits are bragging that 30% of their code is now written by AI"(“这些傻瓜还在吹嘘他们30%的代码是由AI编写的”)
      • "Move to the cloud they said. It will be more secure then your intranet they said"(“他们说迁移到云端会更安全,比内网更安全”)

  2. 对多租户应用授权的技术讨论

    • 评论3和评论5讨论了OAuth和多租户应用授权的复杂性,指出实现中的常见问题。
    • 关键引用:
      • "the guidance given is to check either the “iss” or “tid” claim when authorizing multi-tenant apps"(“建议的指导是检查‘iss’或‘tid’声明来授权多租户应用”)
      • "OAuth is frequently marketed as 'more secure'. But implementations often confuse authentication with authorization"(“OAuth常被宣传为‘更安全’,但实现中常混淆认证与授权”)

  3. 对网络安全重要性的强调

    • 评论6强调网络安全的重要性,认为仅依赖认证令牌是不够的。
    • 关键引用:
      • "it’s really scary how people think an auth token is the only layer of security you need"(“人们认为认证令牌是唯一需要的安全层,这很可怕”)
      • "Network security is such an afterthought but it’s the best layer of defense you can have"(“网络安全常被忽视,但它是最好的防御层”)

  4. 对漏洞奖励的质疑

    • 评论4质疑微软未对发现重大漏洞的研究者给予奖励。
    • 关键引用:
      • "Did he really get no bounties out of this?"(“他真的没有因此获得任何奖励吗?”)
      • "They still gave him nothing?"(“他们还是什么都没给他?”)

总结:评论主要围绕微软的安全策略、技术实现和漏洞奖励展开,既有对云服务和AI应用的安全担忧,也有对多租户授权和网络安全的深入讨论,同时质疑微软对漏洞发现的奖励机制。