マイクロソフト、Azure Active Directoryの情報漏えいを引き起こす脆弱性に対処 | ScanNetSecurity
2021.11.28(日)

マイクロソフト、Azure Active Directoryの情報漏えいを引き起こす脆弱性に対処

日本マイクロソフト株式会社は11月17日、Azure Active Directory(AD)の脆弱性(CVE-2021-42306)への対処をブログで発表した。

脆弱性と脅威 セキュリティホール・脆弱性
 日本マイクロソフト株式会社は11月17日、Azure Active Directory(AD)の脆弱性(CVE-2021-42306)への対処をブログで発表した。

 同社では、Azure Active Directory(AD)の情報漏えいを引き起こす脆弱性(CVE-2021-42306)に対処するため、一部のAzure サービスによってプライベートキーのデータが、Azure Active Directory(Azure AD)アプリケーションまたはサービスプリンシパルのKeyCredentialsプロパティに格納されないよう修正し、既に保存されたKeyCredentialsプロパティのプライベートキーのデータへの読み取りを制限するよう、修正を実施した。

 KeyCredentialsプロパティは、アプリケーションの認証資格情報を構成するため使用され、アプリケーション メタデータへの読み取りアクセス権を持つ、組織のAzure ADテナント内の全てのユーザー、サービスがアクセスできる。KeyCredentialsプロパティは認証で使用するために、公開キー データを持つ証明書を受け入れるよう設計されているが、プライベートキーデータを持つ証明書がプロパティに正しく保存されていない可能性もあり、プライベートキーデータにアクセスすると、ユーザーが影響を受けるアプリケーションまたはサービス プリンシパルを偽装できるようにすることで特権の昇格攻撃を引き起こす。

 同社によると、一部の Microsoftのサービスでアプリケーションを作成時にkeyCredentialsプロパティにプライベートキーデータを正しく格納していないことが判明している。なお同社の調査では、プライベートキーデータに悪意のあるアクセスが行われた痕跡は無かった。

 本脆弱性の影響を受けるMicrosoft Azureサービスでは、keyCredentialsプロパティに平文のプライベートキー情報を保存できないようにすることで、問題に対処しており、またAzure ADでは、UIまたはAPIにユーザーまたはサービスによって以前に追加された平文のプライベートキーデータの読み取りを防止することで対処を行っており、これにて平文のプライベートキーデータへのアクセスは不可能となり、リスクが軽減されている。

《ScanNetSecurity》

関連記事

PageTop

特集

アクセスランキング

  1. 「Emotet」テイクダウンから復活 ~ トレンドマイクロが動向やテイクダウン前との違いを解説

    「Emotet」テイクダウンから復活 ~ トレンドマイクロが動向やテイクダウン前との違いを解説

  2. Apache HTTP Server における URI の検証不備によるディレクトリトラバーサルの脆弱性(Scan Tech Report)

    Apache HTTP Server における URI の検証不備によるディレクトリトラバーサルの脆弱性(Scan Tech Report)

  3. サイバー攻撃者とハンティングチーム 365日間の「対話」~ CrowdStrike  2021年度 脅威ハンティングレポート公開

    サイバー攻撃者とハンティングチーム 365日間の「対話」~ CrowdStrike 2021年度 脅威ハンティングレポート公開PR

  4. 日本薬学会Webサイトへ不正アクセス、緊急メンテナンスを実施し復旧

    日本薬学会Webサイトへ不正アクセス、緊急メンテナンスを実施し復旧

  5. Googleフォームの誤設定事案、コロナ感染防止策用の健康調査リストが閲覧可能に

    Googleフォームの誤設定事案、コロナ感染防止策用の健康調査リストが閲覧可能に

  6. C&Cサーバ検知と通信の秘密、総務省「電気通信事業におけるサイバー攻撃への適正な対処 第四次とりまとめ」公表

    C&Cサーバ検知と通信の秘密、総務省「電気通信事業におけるサイバー攻撃への適正な対処 第四次とりまとめ」公表

  7. トレンドマイクロ、BEC攻撃者が悪用する5つの主要なメールチャネルについて解説

    トレンドマイクロ、BEC攻撃者が悪用する5つの主要なメールチャネルについて解説

  8. 平成18年のサイバー犯罪の検挙件数や特徴などを発表(警察庁)

    平成18年のサイバー犯罪の検挙件数や特徴などを発表(警察庁)

  9. 「持続不可能」な日本の DX ~ 中国よりもサステナビリティ経営の意識低く、調査対象中堂々最下位

    「持続不可能」な日本の DX ~ 中国よりもサステナビリティ経営の意識低く、調査対象中堂々最下位

  10. proofpoint、日本で新しい情報保護及びクラウドセキュリティプラットフォームを販売開始

    proofpoint、日本で新しい情報保護及びクラウドセキュリティプラットフォームを販売開始

ランキングをもっと見る