レッドチームのDirk Jan Mollema氏は、「アクタートークン」について説明しました。
これは、MFAや条件付きアクセスをトリガーすることなく、グローバル管理者を認証し、新規アカウントを作成するために使用されたとされています。
研究者によると、攻撃者はこれにより、全く別の組織の特権ユーザーになりすますことができるとのことです。
「アクタートークンが要求されたのは、レガシーAPIがこのトークン(のテナントソース)を検証できなかったためです」と研究者らは付け加え、通常のログインや監査証跡(MFA)を持たない管理者でもアクセスできるようになると付け加えました。
コメント