Azure ADのマルチテナントアプリ、25%が適切なアクセス制限をしていない
2023年4月3日 09:13
クラウドセキュリティ企業 Wiz の調べによると、Azure AD のマルチテナントアプリは25%が適切なアクセス制限をするよう構成されていないそうだ(Wiz のブログ記事、MSRC Blog の記事)。
マルチテナントアプリの誤構成は Microsoft の複数のアプリでもみられ、Wiz が発見した Bing の脆弱性「BingBang」は「Bing Trivia」アプリの誤構成が原因となっている。Bing Trivia アプリには Bing 検索結果に表示されるカルーセルの内容を設定する機能が含まれており、検索結果を改変して XSS 攻撃を実行することで Office 365 ユーザーのデータにアクセス可能な JWT トークンが取得できたという。
Wiz は MSRC へ Bing の脆弱性を 1 月 31 日に報告し、MSRC は最初の修正を同日行っている。2 月 25 日には Microsoft の他のアプリの脆弱性も報告しており、3 月 20 日までにすべてのアプリで修正が完了したとのこと。Wiz Research は報奨金として 40,000 ドルを受け取ったそうだ。
管理者はAzure Portalでマルチテナントアプリの有無を確認できる。アクセスを意図しない組織外のアカウントでログインできるマルチテナントアプリは脆弱だ。この場合、アクセス可能なユーザーの制限や条件付きアクセスの使用、クレームベースの承認、アクセストークン内のクレームの確認などが必要になる。Wiz では関連する Microsoft のドキュメントも参照することを推奨している。なお、組織外のアカウントでのアクセスが必要ない場合はマルチテナントの登録を解除してシングルテナントに戻せばいい。