/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F434%2Ff94073c525cb0333a613fefcbcff8df4.jpg)
Клієнти Microsoft Azure опинились під загрозою витоку даних: що сталося
Зловмисники могли отримати доступ до всіх облікових записів Microsoft Azure — корпоративного хмарного сервісу світового монополіста — через вразливості системи ідентифікації Entra ID. Про це повідомила Ars Technica.
Під загрозою опинилися мільйони клієнтів хмарного сервісу, які довірили свою цифрову інфраструктуру стандартизованим вбудованим функціям безпеки Microsoft Azure. Дослідник хмарної безпеки Дірк-ян Моллема, голова компанії з кібербезпеки Outsider Security (Нідерланди), розповів про виявлені вразливості в ідентифікаторі Entra ID.
Як голландець знайшов «режим бога» в Entra ID
Entra ID — це платформа керування ідентифікацією та доступом Microsoft Azure. На ній зберігаються:
- ідентифікаційні дані користувачів кожного клієнта хмари Azure;
- елементи керування доступом для входу;
- програми та інструменти керування підписками.
Моллема і раніше вивчав слабкі місця Entra ID — ідентифікатора, раніше відомого як Azure Active Directory. Проте влітку цього року він виявив дві нові вразливості, за допомогою яких можна отримати глобальні права адміністратора. Цей «режим бога» дозволяє скомпрометувати кожний каталог Entra ID.
Моллема каже, що це викрило б майже кожного користувача Entra ID у світі, окрім, можливо, урядової хмарної інфраструктури.
За його словами, вразливості дозволяють видавати токени доступу від імені будь-якого клієнта системи. Таким чином, можна змінювати конфігурацію інших клієнтів, створювати нові акаунти і користувачів з правами адміна — і далі робити все, що заманеться.
Ба більше, під загрозою міг опинитися будь-який сервіс Microsoft, який використовує EntraID для входу, не тільки Microsoft Azure, але включаючи SharePoint і Exchange.
Як у Microsoft відреагували на вразливості в системі хмарної ідентифікації
Моллема одразу передав свої висновки Центру реагування на безпеку Microsoft.
Компанія відреагувала «надзвичайно швидко», тому що «розуміла їхню терміновість», каже хакер. Вже за три дні, 17 липня, клієнтам в усьому світі прилетіло оновлення з виправленням фатальної помилки.
Додаткові заходи запровадили у серпні. А 4 вересня Microsoft випустила CVE для вразливості.
Компанія запевняє, що не виявила ознак того, що хтось устиг скористатися вразливістю.
Проблеми виникли через те, що всередині Entra ID досі функціонують застарілі системи. Один із цих протоколів, Azure Active Directory Graph, не розпізнавав, від якого саме клієнта прилітав запит на доступ. Тож системою можна було зманіпулювати.
Інший «білий хакер» Майкл Баргурі, технічний директор безпекової фірми Zenity, фактично підтверджує слова Моллеми. За його словами, корпорація розробила декілька засобів контролю безпеки ідентифікації, проте не закрила діру у внутрішньому механізмі токенів.
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Fadmin%2F09f7e937-ebb5-4267-be2e-b3bf04365b41.jpeg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F422%2F36ba40ef2d945d5bd2fbe6b1d390ad10)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F137%2F60fafbe2a54f0ed22fb131229f8dd0c9.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F9%2F317f576fab9e9f00129184377be51ea6.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F422%2Fd6579cb25f37732048ec9bc063790e91)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F9%2F3e6b5d9ff3cc621859338b7bd5a90aa1.png)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F9%2F6b03c33c08c1296839cdbc0a01f54b48.png)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F118%2Fb9b68f238287db9f806690722549e4d7.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F2%2F5473db5c4aa420b6e43d7c5ef0f395a4.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F9%2F0356ef81478c275b4ab0ae9facb580ba.jpg)