Fuite de secrets Azure AD dans appsettings.json exposant des accès Microsoft 365
Selon Resecurity (blog), des chercheurs ont découvert lors de tests d’intrusion des identifiants d’applications Azure AD (ClientId et ClientSecret) exposés dans des fichiers appsettings.json accessibles publiquement, une vulnérabilité de haute sévérité permettant une authentification directe aux endpoints OAuth 2.0 de Microsoft. ⚠️ Sur le plan technique, l’attaque exploite le flux OAuth2 « Client Credentials » via une simple requête POST vers l’endpoint de jeton d’Azure avec les secrets divulgués, pour obtenir un Bearer token. Les attaquants enchaînent ensuite avec des requêtes GET authentifiées sur des endpoints Microsoft Graph — notamment /v1.0/users, /v1.0/oauth2PermissionGrants et /v1.0/groups — afin d’énumérer utilisateurs, permissions et structure organisationnelle. 🔑 ...