Відомий кіберфахівець врятував Microsoft від найбільшого фіаско в історії

Виявлена вразливість у сервісі Microsoft Entra ID могла призвести до глобальної кіберкатастрофи, надавши зловмисникам повний контроль над акаунтами практично всіх клієнтів Azure. Лише швидка реакція дослідника та компанії запобігла найгіршому сценарію, який міг би затьмарити всі відомі кібератаки.

Уявіть собі ключ, що відмикає двері до будь-якого хмарного сховища у світі. Саме такий "ключ" випадково знайшов дослідник безпеки Дірк-Ян Моллема, вивчаючи систему керування доступом Microsoft Entra ID, якою користуються понад 610 мільйонів активних користувачів щомісяця. Знахідка могла б стати наймасштабніший інцидентом в історії хмарних технологій.

Тиха загроза "режиму бога"

Готуючись до виступу на конференції з безпеки Black Hat, Моллема натрапив на дві, на перший погляд, незначні вразливості у системі, раніше відомій як Azure Active Directory. Проте їх комбінація дозволяла отримати права глобального адміністратора, по суті, "режим бога", в системі будь-якого клієнта Microsoft, за винятком, можливо, урядових хмарних інфраструктур.

Зловмисник міг би:

• Отримати повний доступ до даних будь-якої компанії;
• Створювати нових адміністраторів та керувати конфігураціями;
• Викрадати конфіденційну інформацію, включно з поштою, документами та іншими даними, що зберігаються в сервісах Microsoft 365.

Найбільшу небезпеку становило те, що такий злам відбувався б абсолютно непомітно для систем безпеки. Ані багатофакторна автентифікація, ані інші протоколи захисту не спрацювали б, оскільки вразливість дозволяла обійти їх усі. "Я просто дивився на екран і не міг повірити. Це не повинно було статися", — коментує Моллема.

Застарілі технології та швидка реакція

Причиною проблеми стали застарілі компоненти, що все ще функціонують в надрах сучасної системи Entra ID. Зокрема, йдеться про старий механізм автентифікації "Access Control Service" та застарілий програмний інтерфейс "Graph". Їхня взаємодія створювала "сліпу зону", якою і могли скористатися хакери.

Усвідомивши всю серйозність ситуації, дослідник негайно повідомив про знахідку Центр реагування на загрози безпеки Microsoft 14 липня. Реакція компанії була миттєвою. Вже за три дні, 17 липня, було випущено глобальне оновлення, що закривало критичну "діру". У Microsoft запевнили, що не виявили жодних доказів використання цієї вразливості зловмисниками. Цей інцидент став ще одним поштовхом для ініціативи Secure Future Initiative, запущеної Microsoft для посилення безпеки своїх продуктів.

Ця історія є яскравим нагадуванням про те, що навіть у найнадійніших системах світових гігантів можуть ховатися критичні помилки. Водночас вона демонструє важливість співпраці між незалежними дослідниками та корпораціями для забезпечення спільної цифрової безпеки. Адже цього разу світ був за крок від катастрофи, якої вдалося уникнути.