Un cercetător în securitate a identificat două vulnerabilități în sistemul de identitate Microsoft Entra ID care ar fi putut permite atacuri la scară largă asupra conturilor Azure. Problemele au vizat mecanisme vechi de autentificare și o interfață API istorică. Microsoft a fost anunţată imediat, a lansat remedieri rapide şi a confirmat că nu a găsit dovezi de exploatare activă. Incidentul readuce în prim-plan riscurile asociate cu protocoalele legacy în ecosistemele cloud.
Care este problema și cum funcționa exploit-ul
Sistemul Entra ID gestionează identităţile, drepturile de acces şi aplicațiile clienţilor Azure. Vulnerabilităţile descoperite au implicat două elemente distincte. Primul a fost legat de un tip vechi de token de autentificare denumit Actor Tokens, emis de un mecanism mai puţin folosit numit Access Control Service. Aceste tokenuri au proprietăţi speciale ce pot fi abuzate pentru impersonare. Al doilea defect apărea într-o interfaţă API istorică, cunoscută în trecut ca Azure AD Graph. Această API nu valida corect ce tenant făcea cererea, permiţând acceptarea unui Actor Token dintr-un alt tenant. Combinaţia dintre cele două slăbiciuni crea posibilitatea de a obţine privilegii de tip administrator global într-un director Entra ID. Atacatorii ar fi putut crea conturi administrative, modifica configuraţii şi obţine acces la servicii precum Exchange, SharePoint sau resurse Azure. Descoperirea a fost raportată pe 14 iulie, iar Microsoft a implementat o remediere iniţială pe 17 iulie, confirmând corecţia până la 23 iulie şi emitenţa unui CVE la începutul lui septembrie. Compania a aplicat, de asemenea, măsuri suplimentare în august, în cadrul unei iniţiative mai largi de consolidare a securităţii cloud. Contextul istoric al incidentului include şi precedentul din 2023, când un grup de spionaj cibernetic a exploatat o cheie de semnare, ceea ce a determinat Microsoft să accelereze protecţiile pentru serviciile sale.
Impactul potențial și reacția industriei
Experţii susţin că vulnerabilitatea putea permite compromiterea în masă a tenantilor Azure, cu efecte ample asupra companiilor. Un atacator cu drepturi administrative globale poate accesa date sensibile şi poate modifica politici de securitate. Practicile de protecţie, precum autentificarea condiţionată şi logarea, pot fi ocolite dacă defectul vizează un mecanism intern de validare a tokenurilor. Răspunsul responsabil al cercetătorului şi timpul scurt de remediere au redus riscul. Microsoft a comunicat transparenţa procesului şi a integrat schimbări de cod în logica de validare. Totuşi, incidentul subliniază necesitatea eliminării protocoalelor legacy şi a migrării către soluţii moderne, cum ar fi Microsoft Graph, care oferă verificări actualizate. Organizatiile trebuie să monitorizeze activ traficul de autentificare şi să aplice principiul privilegiilor minime pentru a diminua impactul unor eventuale vulnerabilităţi asemănătoare.
„M-am uitat pur și simplu la ecran. Mi-am zis: 'Nu, asta nu ar trebui să se întâmple'.”
- Vulnerabilitatea implica tokenuri vechi și o API istorică.
- Raportarea responsabilă a dus la un patch global în zile.
- Microsoft nu a găsit dovezi ale unui abuz activ înainte de remediere.
Concluzie
Incidentul indică cât de critică este securitatea identităţii în mediile cloud. Chiar şi un defect în componente vechi poate permite escaladarea privilegiilor la nivel global. Răspunsul rapid al Microsoft şi implementarea patch-urilor au redus potenţialul impact. Totuşi, organizaţiile trebuie să grăbească eliminarea protocoalelor depăşite şi să adopte mecanisme moderne de autentificare. Practici precum auditul regulat, telemetry pentru autentificări şi politici stricte de acces rămân esenţiale. În plus, colaborarea dintre cercetători şi furnizori dovedeşte valoarea raportării responsabile în prevenirea unor dezastru la scară largă.
Sursa: wired.com