- Обнаружены две критические уязвимости в платформе Microsoft Entra ID, открывающие доступ к административным правам почти для всех учётных записей Azure.
- Уязвимости связаны со старыми компонентами системы — токенами акторов и устаревшим API Azure Active Directory Graph.
- Microsoft оперативно выпустила исправления и подтвердила устранение проблемы, не зарегистрировав случаев злоупотребления уязвимостью.
Эксперт по кибербезопасности Дирк-джан Моллема выявил две серьёзные уязвимости в системе идентификации Microsoft Entra ID, ранее известной как Azure Active Directory. Эти уязвимости потенциально позволяли злоумышленникам получить права глобального администратора и полный контроль над каталогами пользователей в облачном сервисе Azure.
Entra ID управляет доступом к учётным данным, подпискам и приложениям пользователей платформы Azure. Благодаря обнаруженным недостаткам, возможен был запрос специфических токенов и имитация пользователей и администраторов любых клиентов, что позволяло изменять настройки, создавать новых пользователей и выполнять любые действия в каталогах.
Первая уязвимость связана с токенами акторов — устаревшим типом аутентификационных токенов, выпускаемых Access Control Service. Вторая — с ошибкой проверки в старом API Azure Active Directory Graph, который неадекватно контролировал отправителей запросов. Microsoft уже завершает перевод на более современный API Microsoft Graph, рассчитанный на Entra ID.
Моллема сообщил о проблеме в Центр реагирования Microsoft 14 июля. Уже 17 июля был выпущен патч, а к 23 июля уязвимости были устранены полностью. Компания также провела дополнительное усиление безопасности в августе и оформила атрибуцию уязвимости с кодом CVE 4 сентября.
Представитель Microsoft подчеркнул, что после расследования не было выявлено признаков эксплуатации данного дефекта злоумышленниками. Тем не менее, эксперты отмечают, что если бы атака имела место, последствия могли бы быть разрушительными, сравнимыми с инцидентом Storm-0558 в 2023 году, когда был похищен криптографический ключ, позволявший обходить аутентификацию.
Уязвимости в Microsoft Entra ID свидетельствуют о рисках, связанных с использованием устаревших компонентов облачных сервисов, и подчеркивают необходимость постоянного обновления и модернизации систем безопасности. Оперативные действия Microsoft по устранению проблемы показывают высокую степень ответственности и слаженность в реагировании на выявленные угрозы.
