Như các doanh nghiệp xung quanh Thế giới đã chuyển cơ sở hạ tầng kỹ thuật số của họ trong thập kỷ qua từ các máy chủ tự lưu trữ sang đám mây, họ đã được hưởng lợi từ các tính năng bảo mật tích hợp, được tiêu chuẩn hóa của các nhà cung cấp đám mây lớn như Microsoft. Nhưng với rất nhiều việc cưỡi trên các hệ thống này, có thể có những hậu quả tai hại có khả năng ở quy mô lớn nếu có sự cố xảy ra. Trường hợp điển hình: Nhà nghiên cứu bảo mật Dirk-Jan Mollema gần đây đã tình cờ thấy một cặp lỗ hổng trong nền tảng quản lý truy cập và danh tính của Microsoft Azure có thể được khai thác để tiếp quản tài khoản khách hàng có khả năng sử dụng thảm họa.
Được biết đến với cái tên ENTRA ID, hệ thống lưu trữ mỗi danh tính người dùng của khách hàng Azure Cloud, các điều khiển truy cập, ứng dụng và công cụ quản lý đăng ký. Mollema đã nghiên cứu bảo mật id id chuyên sâu và công bố nhiều nghiên cứu về các điểm yếu trong hệ thống, trước đây được gọi là Azure Active Directory. Nhưng trong khi chuẩn bị trình bày tại Hội nghị An ninh Hat Black ở Las Vegas vào tháng 7, Mollema đã phát hiện ra hai lỗ hổng mà anh ta nhận ra có thể được sử dụng để có được đặc quyền quản trị viên toàn cầu về cơ bản là chế độ thần và thỏa hiệp mọi thư mục id id, hoặc được gọi là người thuê nhà. Mollema nói rằng điều này sẽ phơi bày gần như mọi người thuê id id trên thế giới khác, có lẽ, cơ sở hạ tầng đám mây của chính phủ.
Tôi chỉ nhìn chằm chằm vào màn hình của mình. Tôi giống như, ‘Không, điều này không thực sự xảy ra’, Mollema, người điều hành công ty an ninh mạng Hà Lan ngoài an ninh và chuyên về bảo mật đám mây. Nó khá tệ. Tệ như nó được, tôi sẽ nói.
Từ những người thuê nhà của riêng tôi, người thuê của tôi, người thuê thử nghiệm của tôi, bạn có thể yêu cầu những mã thông báo này và bạn có thể mạo danh về cơ bản bất kỳ ai khác trong bất kỳ người thuê nào của bất kỳ ai khác, ông Moll Mollema cho biết thêm. Điều đó có nghĩa là bạn có thể sửa đổi cấu hình của người khác, tạo người dùng mới và quản trị viên trong người thuê đó và làm bất cứ điều gì bạn muốn.
Với mức độ nghiêm trọng của lỗ hổng, Mollema tiết lộ những phát hiện của mình với Trung tâm phản ứng an ninh Microsoft vào ngày 14 tháng 7, cùng ngày mà anh phát hiện ra những sai sót. Microsoft đã bắt đầu điều tra các phát hiện ngày hôm đó và ban hành một bản sửa lỗi trên toàn cầu vào ngày 17 tháng 7. Công ty đã xác nhận với Mollema rằng vấn đề đã được khắc phục vào ngày 23 tháng 7 và thực hiện các biện pháp bổ sung vào tháng 8. Microsoft đã ban hành CVE cho lỗ hổng vào ngày 4 tháng 9.
Chúng tôi đã giảm thiểu vấn đề mới được xác định một cách nhanh chóng và tăng tốc công việc khắc phục đang được tiến hành để ngừng hoạt động sử dụng giao thức di sản này, như một phần của sáng kiến an toàn trong tương lai của chúng tôi, ông Tom Tom Gallagher, phó chủ tịch của Trung tâm phản ứng an ninh của Microsoft, nói với Wired trong một tuyên bố. Chúng tôi đã thực hiện một thay đổi mã trong logic xác thực dễ bị tổn thương, đã kiểm tra bản sửa lỗi và áp dụng nó trên hệ sinh thái đám mây của chúng tôi.
Gallagher nói rằng Microsoft đã tìm thấy không có bằng chứng về sự lạm dụng về lỗ hổng trong quá trình điều tra.
Cả hai lỗ hổng liên quan đến các hệ thống kế thừa vẫn hoạt động trong id. Đầu tiên liên quan đến một loại mollema mã thông báo xác thực Azure được phát hiện được gọi là mã thông báo diễn viên được cấp bởi một cơ chế Azure tối nghĩa được gọi là Dịch vụ kiểm soát truy cập của Cameron. Mã thông báo diễn viên có một số thuộc tính hệ thống đặc biệt mà Mollema nhận ra có thể hữu ích cho kẻ tấn công khi kết hợp với một lỗ hổng khác. Lỗi khác là một lỗ hổng lớn trong giao diện lập trình ứng dụng Azure Active Directory lịch sử được gọi là đồ thị của Hồi giáo được sử dụng để tạo điều kiện truy cập vào dữ liệu được lưu trữ trong Microsoft 365. Microsoft đang trong quá trình nghỉ hưu Azure Active Directory biểu đồ và chuyển người dùng sang người kế nhiệm, Microsoft Graph, được thiết kế cho ID ID. Lỗ hổng có liên quan đến sự thất bại của biểu đồ Azure AD để xác thực chính xác người thuê Azure nào đang thực hiện yêu cầu truy cập, có thể bị thao túng để API chấp nhận mã thông báo diễn viên từ một người thuê khác nên bị từ chối.