L’article publié par CloudSEK via la plateforme BeVigil révèle une faille de sécurité critique chez un géant de l’aviation, impliquant une API non sécurisée dans un fichier JavaScript.
Cette vulnérabilité a permis un accès non autorisé aux données sensibles de Microsoft Graph de plus de 50 000 utilisateurs Azure AD, y compris des cadres exécutifs. L’API exposée délivrait un jeton d’accès avec des permissions excessives telles que User.Read.All et AccessReview.Read.All, ouvrant la voie à des attaques par hameçonnage et à l’usurpation d’identité.
L’impact est considérable, avec des informations personnelles, des noms d’utilisateurs, et des rôles d’accès rendus accessibles, augmentant le risque de conformité sous des réglementations comme le RGPD et le CCPA. Les données des hauts dirigeants étant compromises, cela les rendait vulnérables à des attaques ciblées.
Pour remédier à cette situation, BeVigil recommande de restreindre l’accès public à l’API, de révoquer les jetons compromis, et de mettre en œuvre des contrôles d’accès stricts. Cet article sert d’analyse technique pour sensibiliser aux risques et proposer des mesures correctives.
🧠 TTP et IOC détecté
TTP
T1587.003 - Develop Capabilities: Exploit Public-Facing Application, T1078 - Valid Accounts, T1203 - Exploitation for Client Execution, T1589.002 - Gather Victim Identity Information: Email Addresses, T1589.003 - Gather Victim Identity Information: Employee Names, T1589.001 - Gather Victim Identity Information: Credentials, T1566 - Phishing, T1071.001 - Application Layer Protocol: Web Protocols
🔗 Source originale : https://www.cloudsek.com/blog/50-000-azure-ad-users-exposed-via-unsecured-api-bevigil-uncovers-critical-flaw