Investigadores de seguridad han descubierto cuatro vulnerabilidades en los registros de inicio de sesión de Azure Entra ID, permitiendo a los atacantes validar contraseñas sin que aparezcan en los registros, lo que dificulta la detección de intrusiones. El investigador, conocido como Nyxgeek, ha revelado estas vulnerabilidades a lo largo de los últimos tres años, siendo las dos primeras (GraphNinja y GraphGhost) capaces de confirmar la validez de una contraseña sin generar un registro. Las dos últimas, GraphGoblin y Graph** (nombres aún no revelados completamente), permiten incluso obtener tokens de acceso funcionales sin dejar rastro en los registros. GraphGoblin, en particular, se aprovecha de una falla en la validación de los parámetros de alcance (scope) al permitir la repetición de valores, posiblemente debido a un desbordamiento de la base de datos. Microsoft ya ha corregido estas vulnerabilidades, pero el incidente subraya la importancia de la supervisión y la preparación ante futuras fallas de seguridad. El investigador ha proporcionado ejemplos de comandos curl para demostrar las vulnerabilidades y ha compartido consultas KQL para ayudar a detectar este tipo de ataques.
Noticias agregadas con IA