Sigurnosni stručnjak Dirk-jan Mollema otkrio je dvije kritične ranjivosti u Microsoftovoj platformi za upravljanje identitetom i pristupom Entra ID (bivši Azure Active Directory) koje su mogle omogućiti preuzimanje gotovo svih Azure klijentskih računa na svijetu.
Mollema je 14. srpnja, dok se pripremao za predavanje na konferenciji Black Hat u Las Vegasu, primijetio da kombinacija dviju grešaka otvara put do privilegija globalnog administratora – svojevrsnog „god modea” – u svakoj Entra ID organizaciji (tenantu). „Bio sam zapanjen. Pomislio sam: ‘Ne, ovo se ne bi smjelo događati’”, opisao je trenutak otkrića.
Ključne točke prijetnje
• Ranjivost 1 – Actor Tokens: Zastarjeli mehanizam Access Control Service izdavao je posebne Actor tokene koji, zbog svojih sistemskih svojstava, mogu zaobići moderne kontrole pristupa.
• Ranjivost 2 – Azure AD Graph API: Povijesni API nije ispravno provjeravao iz kojeg tenanta dolazi zahtjev, pa je prihvaćao Actor token iz tuđeg okruženja.
Kombinacijom tih propusta napadač bi, iz vlastitog testnog ili probnog tenanta, mogao „glumiti bilo kojeg korisnika u bilo kojem drugom tenant-u”, upozorava Mollema. Time bi bilo moguće mijenjati postavke, stvarati nove administratore i preuzeti servise poput Azurea, Exchangea ili SharePointa.
Brza reakcija Microsofta
Mollema je propuste odmah prijavio Microsoft Security Response Centeru. Tvrtka je:
• istoga dana pokrenula istragu; • 17. srpnja implementirala globalni popravak; • do 23. srpnja potvrdila potpunu sanaciju; • u kolovozu dodala dodatne zaštitne mjere; • 4. rujna izdala službeni CVE.
Potpredsjednik inženjeringa Tom Gallagher poručio je: „Brzo smo ublažili novootkriveni problem i ubrzali ukidanje ovog naslijeđenog protokola u sklopu inicijative Secure Future.” Naglasio je da istraga nije pronašla tragove zlouporabe.
Što bi se dogodilo da su propusti dospjeli u pogrešne ruke? Stručnjaci podsjećaju na napad kineske skupine Storm-0558 iz 2023., kada je ukradeni ključ za potpisivanje tokena omogućio upade u državne e-mail sustave SAD-a. Ovog puta, smatra Mollema, posljedice bi bile još ozbiljnije jer bi napadač mogao sam sebi dodijeliti najvišu razinu ovlasti u svakom tenant-u.
Otkriveni incident još jednom pokazuje koliko opasni mogu biti zastarjeli dijelovi velikih cloud platformi te koliko je važno pravovremeno gašenje legac y servisa i rigorozna validacija pristupnih tokena.