Исследователь безопасности Дирк-джан Моллема обнаружил две уязвимости в платформе идентификации Microsoft Entra ID, которые могли предоставить злоумышленникам административный доступ практически ко всем учётным записям клиентов Azure по всему миру.
Система, известная как Entra ID, хранит идентификационные данные каждого клиента облачного сервиса Azure, элементы управления доступом для входа, приложения и инструменты управления подписками. Моллема подробно изучил безопасность Entra ID и опубликовал несколько исследований, посвященных уязвимостям этой системы, которая ранее называлась Azure Active Directory. Он также обнаружил две уязвимости, которые можно было использовать для получения прав глобального администратора — по сути, режима «God Mode» — и компрометации всех каталогов Entra ID. Исследователь утверждает, что это могло бы раскрыть практически все каталоги Entra ID в мире, за исключением только правительственной облачной инфраструктуры.
Моллема руководит голландской компанией Outsider Security, специализирующейся на кибербезопасности и облачной безопасности.
«У моих собственных каталогов — тестового или даже пробного — можно было запросить эти токены и выдать себя практически за кого угодно в каталоге любого другого пользователя. Это означает, что можно было изменять чужие конфигурации, создавать новых пользователей и администраторов в каталоге и делать всё, что угодно», — добавил исследователь.
Учитывая серьёзность уязвимости, Моллема сообщил о своих выводах Центру реагирования на угрозы безопасности Microsoft (Microsoft Security Response Center) 14 июля. Компания начала расследование в тот же день и выпустила исправление по всему миру 17 июля. Microsoft подтвердила Моллеме, что проблема была устранена к 23 июля, а в августе были приняты дополнительные меры. 4 сентября компания присвоила код CVE этой уязвимости.
Том Галлахер, вице-президент по разработке Центра реагирования на угрозы безопасности Microsoft, заявил, что компания «внедрила изменение кода в уязвимую логику проверки, протестировала исправление и применила его в облачной экосистеме». Он добавил, что в ходе расследования Microsoft не обнаружила «никаких доказательств злоупотребления» уязвимостью.
Обе уязвимости объясняются устаревшими системами, которые всё ещё работают в Entra ID. Первая связана с типом токена аутентификации Azure, известным как токен акторов (Actor Tokens), выпускаемый малоизвестным механизмом Azure под названием «Служба контроля доступа» (Access Control Service). Токены акторов обладают некоторыми особыми системными свойствами, которые, как понял Моллема, могут быть полезны злоумышленнику в сочетании с другой уязвимостью. Вторая ошибка заключалась в серьёзном недостатке в старом интерфейсе прикладного программирования Azure Active Directory, известном как Graph, который использовался для упрощения доступа к данным, хранящимся в Microsoft 365. Уязвимость была связана с тем, что Azure AD Graph не мог должным образом проверить, какой клиент отправляет запрос на доступ. Это можно было использовать для манипуляций, чтобы API принимал токен акторов от другого клиента. Компания в настоящее время завершает поддержку Azure Active Directory Graph и переводит пользователей на Microsoft Graph, разработанный для Entra ID.
Майкл Баргури, технический директор компании кибербезопасности Zenity, считает, что, если бы уязвимость была обнаружена злоумышленниками или попала в их руки, последствия могли бы быть разрушительными. «Нам не нужно гадать, какими могли быть последствия; мы видели два года назад, что произошло, когда Storm-0558 скомпрометировал ключ подписи, который позволил войти в систему как любой пользователь любого клиента», — напомнил он.
В июле 2023 года Microsoft сообщила, что китайская группа кибершпионажа Storm-0558 похитила криптографический ключ, который позволил ей генерировать токены аутентификации и получать доступ к облачным почтовым системам Outlook, в том числе принадлежащим правительственным ведомствам США.
Анализ атаки выявил несколько ошибок, которые привели к тому, что китайская группа обошла облачную защиту. Это побудило компанию запустить «Инициативу безопасного будущего», которая расширила защиту облачных систем безопасности.
Моллема говорит, что Microsoft оперативно отреагировала на его выводы и, похоже, осознала их актуальность. Но он подчёркивает, что данная уязвимость могла позволить злоумышленникам зайти ещё дальше, чем в 2023 году.
«С этой уязвимостью можно было просто добавить себя в качестве администратора с наивысшими привилегиями в клиенте, получив полный доступ», — говорит Моллема. В результате любая служба Microsoft, в которую входят с помощью EntraID, будь то Azure, SharePoint или Exchange, могла быть скомпрометирована.
Ранее сообщалось, что хакеры используют новый метод, сочетающий легитимные ссылки office.com со службами Active Directory (ADFS) для перенаправления пользователей на фишинговую страницу, которая похищает учётные данные Microsoft 365. Он позволяет обходить традиционную систему обнаружения на основе URL-адресов и многофакторную аутентификацию, используя доверенный домен в инфраструктуре Microsoft для первоначального перенаправления.
Источник: habr.com