Pesquisadores de segurança estão alertando os usuários do Azure Active Directory (AD) sobre uma vulnerabilidade crítica descoberta na plataforma Microsoft Power. A vulnerabilidade foi encontrada em um endereço de “reply URL” abandonado em uma aplicação Azure AD relacionada à plataforma Power de baixo código.

Os atacantes poderiam usar esse URL para redirecionar códigos de autorização para si mesmos. Uma vez que os códigos de autorização são obtidos, os atacantes podem trocá-los por tokens de acesso. Isso permitiria a um ator da ameaça obter privilégios elevados, chamando a API da Power Platform através de um serviço intermediário.,

A API da Power Platform permite aos usuários gerenciar ambientes, alterar configurações e consultar o consumo de capacidade. Portanto, é um alvo atraente para atores de ameaças que buscam acesso privilegiado.

Os pesquisadores demonstraram que é possível elevar os privilégios de um “service principal” existente usando a API da Power Platform.

Isso foi feito não para abusar do acesso, mas para demonstrar que ações privilegiadas são possíveis. A Microsoft corrigiu rapidamente o bug, removendo o “reply URL” abandonado em questão da aplicação Azure AD.