Como empresas ao redor O mundo mudou sua infraestrutura digital na última década de servidores auto-hospedados para o nuvemeles se beneficiaram dos recursos de segurança padronizados e embutidos dos principais provedores de nuvem como Microsoft. Mas com tanta pilotagem nesses sistemas, pode haver potencialmente conseqüências desastrosas Em uma enorme escala, se algo der errado. Caso em questão: o pesquisador de segurança Dirk-Jan Mollema tropeçou recentemente em um Par de vulnerabilidades Na plataforma de gerenciamento de identidade e acesso da Microsoft Azure, que poderia ter sido explorada para uma aquisição potencialmente cataclísmica de todas as contas do cliente do Azure.
Conhecida como ID da ENTRA, o sistema armazena as identidades do usuário de cada cliente do Azure Cloud, controles de acesso de assinatura, aplicativos e ferramentas de gerenciamento de assinaturas. Mollema estudou a segurança da ENTRA ID em profundidade e publicou vários estudos sobre fraquezas no sistema, que antes era conhecido como Azure Active Directory. Mas enquanto se preparava para presente Na Conferência de Segurança do Black Hat em Las Vegas, em julho, Mollema descobriu duas vulnerabilidades que ele percebeu que poderia ser usado para obter privilégios globais de administrador – o modo essencialmente de Deus – e comprometer todos os diretórios de identificação da ENTRA, ou o que é conhecido como “inquilino”. Mollema diz que isso teria exposto quase todos os inquilinos da IDRA ID do mundo, exceto, talvez, infraestrutura em nuvem do governo.
“Eu estava apenas olhando para a minha tela. Fiquei tipo, ‘Não, isso não deveria realmente não acontecer’”, diz Mollema, que administra a empresa holandesa de segurança cibernética de uma segurança e se especializa em segurança em nuvem. “Foi muito ruim. Por mais ruim que seja, eu diria.”
“De meus próprios inquilinos – meu inquilino de teste ou mesmo um inquilino de teste – você poderia solicitar esses tokens e você poderia se passar basicamente de qualquer outra pessoa no inquilino de qualquer outra pessoa”, acrescenta Mollema. “Isso significa que você pode modificar a configuração de outras pessoas, criar usuários novos e administrativos nesse inquilino e fazer o que quiser.”
Dada a seriedade da vulnerabilidade, Mollema divulgou suas descobertas ao Microsoft Security Response Center em 14 de julho, no mesmo dia em que descobriu as falhas. A Microsoft começou a investigar as descobertas naquele dia e emitiu uma correção globalmente em 17 de julho. A empresa confirmou a Mollema que o problema foi corrigido até 23 de julho e implementou medidas extras em agosto. Microsoft emitiu um cve para a vulnerabilidade em 4 de setembro.
“Mitigamos a questão recém -identificada rapidamente e aceleramos o trabalho de remediação em andamento para descomissionar esse uso do protocolo herdado, como parte de nossa iniciativa segura futura”, disse Tom Gallagher, vice -presidente de engenharia do Centro de Resposta à Microsoft. “Implementamos uma alteração de código dentro da lógica de validação vulnerável, testamos a correção e a aplicamos em nosso ecossistema em nuvem”.
Gallagher diz que a Microsoft encontrou “nenhuma evidência de abuso” da vulnerabilidade durante sua investigação.
Ambas as vulnerabilidades estão relacionadas a sistemas herdados ainda funcionando no ID da ENTRA. O primeiro envolve um tipo de token de autenticação do Azure, descoberto conhecido como tokens de ator que são emitidos por um mecanismo obscuro do Azure chamado “Serviço de Controle de Acesso”. Os tokens de atores têm algumas propriedades especiais do sistema que Mollema percebeu pode ser útil para um invasor quando combinado com outra vulnerabilidade. O outro bug foi uma grande falha em uma interface histórica de programação de aplicativos do Azure Active Directory, conhecida como “gráfico”, usada para facilitar o acesso a dados armazenados no Microsoft 365. A Microsoft está no processo de aposentador de gráfico do Azure Active Directory e transição de usuários para seu sucessor, Microsoft Graph, que é projetado para o IDR ID. A falha estava relacionada a uma falha pelo Azure Ad Graph para validar corretamente qual inquilino do Azure estava fazendo uma solicitação de acesso, que poderia ser manipulada para que a API aceitasse um token de ator de um inquilino diferente que deveria ter sido rejeitado.
