Selon Resecurity (blog), des chercheurs ont découvert lors de tests d’intrusion des identifiants d’applications Azure AD (ClientId et ClientSecret) exposés dans des fichiers appsettings.json accessibles publiquement, une vulnérabilité de haute sévérité permettant une authentification directe aux endpoints OAuth 2.0 de Microsoft. ⚠️
Sur le plan technique, l’attaque exploite le flux OAuth2 « Client Credentials » via une simple requête POST vers l’endpoint de jeton d’Azure avec les secrets divulgués, pour obtenir un Bearer token. Les attaquants enchaînent ensuite avec des requêtes GET authentifiées sur des endpoints Microsoft Graph — notamment /v1.0/users, /v1.0/oauth2PermissionGrants et /v1.0/groups — afin d’énumérer utilisateurs, permissions et structure organisationnelle. 🔑
L’impact potentiel inclut vol de données, élévation de privilèges et accès non autorisé aux services Microsoft 365. Les causes évoquées sont des serveurs web mal configurés, une mauvaise gestion des secrets et l’absence de contrôles d’accès appropriés. ☁️
Les mesures de réduction proposées comprennent la mise en place de contrôles d’accès aux fichiers, l’usage d’Azure Key Vault pour la gestion des secrets, l’application du principe du moindre privilège, et la détection de modèles d’authentification suspects.
TTPs observés:
- Exposition de secrets dans des appsettings.json accessibles via serveur web
- Abus du flux OAuth2 « Client Credentials » pour obtenir un Bearer token
- Requête POST vers l’endpoint de token Azure AD avec ClientId/ClientSecret divulgués
- Énumération via Microsoft Graph: /v1.0/users, /v1.0/oauth2PermissionGrants, /v1.0/groups
IOCs: aucun communiqué.
Type: publication de recherche visant à documenter ce vecteur d’attaque et ses mitigations.
🔗 Source originale : https://www.resecurity.com/blog/article/azure-ad-client-secret-leak-the-keys-to-cloud