La empresa CloudSEK ha descubierto un grave incidente de
exposición de datos en el sector de la aviación. El incidente reveló que más
de 50.000 registros de usuarios de Microsoft Azure AD eran de acceso público
debido a un endpoint de API mal configurado y sin autenticar, incrustado en un
archivo JavaScript.
La vulnerabilidad se originó en un paquete de JavaScript que contenía un
endpoint codificado que emitía un token de API de Microsoft Graph sin requerir
autenticación. Este token tenía permisos excesivos: User.Read.All y
AccessReview.Read.All.
«Este endpoint emitió un token de API de Microsoft Graph con permisos
excesivos, generalmente restringidos debido a su capacidad para acceder a
perfiles de usuario completos y datos críticos de gobernanza de
identidad», afirma el informe.
Usando este token, los atacantes podrían recuperar una amplia gama de datos
confidenciales de Microsoft Graph, incluyendo:
- Nombres y cargos de empleados
- Direcciones de correo electrónico y datos de contacto
- Jerarquía organizacional
- Configuraciones de revisión de acceso
- Perfiles de liderazgo ejecutivo
Este tipo de acceso no autorizado no solo supone graves violaciones de la
privacidad, sino que también crea una vía directa para el robo de identidad,
la escalamiento de privilegios y ataques de phishing dirigidos a personal de
alto nivel.
El punto de conexión de la API expuesto devolvía datos en tiempo real de más
de 50.000 usuarios de Azure AD e incluso seguía entregando información a los
nuevos usuarios.
«Se pudo acceder a los datos asociados a más de 50.000 usuarios… Entre la
información expuesta se encontraban identificadores personales, nombres
principales de usuario, asignaciones de roles de acceso y otros detalles de
gobernanza».
Esta exposición amplía drásticamente la superficie de ataque y presenta graves
riesgos regulatorios según las leyes de privacidad como el RGPD y la CCPA.
«La exposición de información personal identificable sin las medidas de
seguridad adecuadas plantea serias preocupaciones de cumplimiento
normativo», enfatizó CloudSEK.
Las organizaciones, especialmente aquellas en sectores de infraestructura
crítica como la aviación, deben reevaluar la gestión de tokens sensibles en
las aplicaciones front-end. Garantizar una gestión estricta del alcance de los
tokens, la autenticación de API y la revisión de secretos a nivel de código
puede mitigar riesgos similares.
Soluciones recomendadas
- Deshabilitar el acceso público a la API: Restringir el punto de conexión vulnerable y aplicar controles de autenticación estrictos.
- Revocar tokens comprometidos: Invalidar los tokens expuestos y rotar las credenciales afectadas.
- Aplicar privilegios mínimos: Revisar y limitar el alcance de los tokens a lo estrictamente necesario.
- Supervisar el uso de la API: Implementar registros y alertas para detectar actividad anormal en Microsoft Graph.
- Proteger el código front-end: Evitar la incrustación de puntos de conexión sensibles o lógica de tokens en scripts del lado del cliente.
- Revisar permisos y roles: Auditar todos los roles de Azure AD y las revisiones de acceso para eliminar el exceso de permisos.
- Implementar la limitación de velocidad: Proteger los puntos de conexión de la API con controles de velocidad y detección de anomalías.
Fuente:
SecurityOnline