Sebuah kerentanan keamanan serius dalam implementasi OAuth Microsoft telah ditemukan yang memungkinkan penyerang eksternal mendapatkan akses tidak sah ke aplikasi internal Microsoft . Celah ini mengeksploitasi kelemahan dalam cara aplikasi multi-tenant menangani token autentikasi, berpotensi mengekspos data dan sistem perusahaan yang sensitif.
Kerentanan ini berpusat pada Microsoft Entra ID (sebelumnya Azure Active Directory ) dan konfigurasi aplikasi multi-tenant-nya. Ketika aplikasi diatur untuk bekerja lintas organisasi yang berbeda, mereka dapat menerima token autentikasi dari pengguna di luar perusahaan mereka sendiri. Namun, banyak aplikasi internal Microsoft gagal memvalidasi token ini dengan benar, menciptakan celah keamanan yang berbahaya.
Komponen Kerentanan Utama:
- Aplikasi OAuth multi-tenant di Microsoft Entra ID
- Validasi token yang tidak tepat (tidak ada pemeriksaan issuer, tenant, subject)
- Pengaturan persetujuan pengguna default yang memungkinkan izin aplikasi yang luas
- Aplikasi internal yang terekspos ke internet publik tanpa perlindungan tingkat jaringan
Metode Serangan Ternyata Sangat Sederhana
Serangan ini bekerja dengan mengelabui pengguna untuk memberikan izin kepada aplikasi berbahaya yang tampak sah. Setelah izin diberikan, penyerang dapat menggunakan token OAuth yang dibuat khusus untuk mengakses sistem internal Microsoft yang seharusnya tidak dapat diakses. Masalah utamanya adalah banyak aplikasi hanya memeriksa apakah token valid, tetapi tidak memeriksa apakah token tersebut berasal dari organisasi atau pengguna yang tepat.
Diskusi komunitas mengungkapkan bahwa ini bukan hanya masalah Microsoft . Kompleksitas konfigurasi OAuth dan Entra ID telah menciptakan kebingungan yang meluas di kalangan pengembang. Banyak organisasi tanpa sadar memiliki kerentanan serupa karena aplikasi mereka tidak memvalidasi klaim token dengan benar seperti penerbit, tenant, dan subjek.
Elemen Permukaan Serangan:
- Aplikasi Enterprise Entra ID
- Aplikasi Multi-Tenant vs Single Tenant
- Izin OAuth dan Izin MS Graph
- Izin Terdelegasi vs Izin Aplikasi
- Vektor serangan Consent Phishing
Kebijakan Zero Trust Tidak Dapat Mencegah Pelanggaran
Insiden ini telah memicu perdebatan tentang pendekatan keamanan modern. Microsoft , seperti banyak perusahaan besar, telah beralih dari keamanan jaringan tradisional menuju model zero trust di mana setiap koneksi harus diautentikasi. Namun, pendekatan ini gagal mencegah serangan karena sistem autentikasi itu sendiri yang dikompromikan.
Beberapa ahli keamanan berpendapat bahwa pertahanan jaringan tradisional seperti VPN akan memberikan lapisan perlindungan tambahan. Aplikasi internal yang terekspos ke internet publik menjadi target yang mudah setelah celah OAuth ditemukan. VPN yang dikonfigurasi dengan benar yang memerlukan autentikasi multi-faktor dapat membuat sistem ini jauh lebih sulit dijangkau.
Respons Bug Bounty Microsoft Mengecewakan Komunitas Keamanan
Yang mungkin paling mengkhawatirkan adalah respons Microsoft terhadap peneliti keamanan yang menemukan celah ini. Meskipun menemukan cara untuk mengakses server build tempat Windows dikompilasi dan berpotensi mengekspos kode sumber, peneliti tersebut tidak menerima imbalan finansial. Hal ini telah menarik kritik tajam dari komunitas keamanan, dengan banyak yang menunjukkan bahwa program bug bounty Microsoft telah menjadi semakin pelit.
Program bug bounty Microsoft adalah bayangan dari masa lalunya. Mereka diam-diam mendiskualifikasi banyak temuan berdampak tinggi pada tahun 2023.
Kurangnya imbalan ini mengecilkan hati peneliti keamanan yang sah untuk melaporkan kerentanan kepada Microsoft , berpotensi meninggalkan celah kritis yang tidak ditemukan sampai aktor jahat menemukannya.
Respons Keamanan Microsoft:
- Aplikasi internal telah diperbaiki namun tidak ada perbaikan menyeluruh yang didorong ke seluruh tenant
- Bounty sebesar $0 USD dibayarkan meskipun berhasil mengakses server build Windows
- Program bug bounty dilaporkan mendiskualifikasi banyak temuan berdampak tinggi pada tahun 2023
Dampak Luas di Luar Microsoft
Meskipun Microsoft telah menambal aplikasi internal mereka, masalah konfigurasi OAuth yang mendasari mempengaruhi banyak organisasi yang menggunakan Microsoft 365 dan Entra ID . Banyak perusahaan memiliki pengaturan default yang memungkinkan pengguna memberikan izin kepada aplikasi apa pun, menciptakan peluang serangan serupa.
Kompleksitas teknis OAuth dan Entra ID memudahkan pengembang untuk membuat kesalahan berbahaya. Bahkan insinyur berpengalaman kesulitan dengan model izin yang rumit dan konfigurasi multi-tenant, yang menyebabkan celah keamanan yang dapat dieksploitasi penyerang.
Insiden ini menyoroti tantangan berkelanjutan keamanan cloud dan pentingnya validasi token yang tepat dalam sistem autentikasi modern. Organisasi yang menggunakan layanan identitas Microsoft harus meninjau izin aplikasi mereka dan mempertimbangkan untuk membatasi persetujuan pengguna untuk mencegah serangan serupa.
Referensi: Consent & Compromise: Abusing Entre OAuth for Fun and Access to Internal Microsoft Applications