SPA est pour Single-Page Abuse ! – Utilisation de jetons d'application à page unique pour énumérer Azure

Microsoft Azure est un fournisseur de cloud de premier plan qui propose des solutions technologiques à diverses organisations. Les applications à page unique (SPA) sont une méthode populaire de création d'applications web, qui réécrivent dynamiquement une page web en cours avec de nouvelles données provenant du serveur web. Le portail Azure est essentiellement une application web frontale qui communique avec les API Azure Graph. Une évaluation de la sécurité a été menée pour un client ciblant son locataire Azure, en se concentrant sur l'escalade des privilèges, l'amélioration des détections et la documentation des chemins d'attaque. L'équipe a rencontré une limite d'expiration d'une heure pour les jetons d'accès, ce qui a conduit à la découverte de jetons de rafraîchissement dans le trafic réseau. En utilisant le jeton de rafraîchissement et l'URL d'origine, l'équipe a réussi à s'authentifier avec ROADTools et à énumérer le client locataire. Le flux de travail comprend l'inspection du trafic réseau à la recherche de jetons, l'authentification auprès de l'API Microsoft Graph, l'exécution de collectes et l'examen des informations. Ce processus peut être appliqué à diverses SPA, y compris le portail Azure et les applications Microsoft Office en ligne.