Como uma empresa por aí O mundo tem sido um servidor auto-hospedado na última década. nuvemEles se beneficiam de recursos de segurança integrados padronizados dos principais provedores de nuvem, como Microsoft. Mas há tantas coisas que podem existir nesses sistemas. Conseqüências desastrosas Se algo der errado, em larga escala. O caso certo: o pesquisador de segurança Dirk-Jan Molema tropeçou recentemente Par de vulnerabilidades A plataforma de gerenciamento de identidade e acesso da Microsoft Azure poderia ter sido explorada devido à aquisição potencialmente intensa e chocante de todas as contas do cliente do Azure.
Conhecida como IDS da ENTRA, este sistema armazena as ferramentas de ID de usuário, controle de acesso, aplicativos e gerenciamento de assinaturas para cada cliente do Azure Cloud. O Molema estudou a segurança da ENTRA ID em profundidade e publicou vários estudos sobre fraquezas em sistemas anteriormente conhecidos como Azure Active Directory. Mas em preparação o actual Na Conferência de Segurança do Black Hat em Las Vegas, em julho, Morema descobriu duas vulnerabilidades que ganhou privilégios globais de administrador (essencialmente de Deus) e achou possível usar para comprometer todos os diretórios da ENTRA, ou o que é conhecido como “inquilinos”. Molema diz que isso provavelmente expôs quase todos os inquilinos da IDRA ID do mundo fora da infraestrutura de nuvem do governo.
“Eu estava olhando para a minha tela e dizendo: ‘Não, isso realmente não deveria acontecer'”, diz Morema, que administra a segurança de fora, uma empresa holandesa de segurança cibernética e é especializada em segurança em nuvem. “Foi muito ruim. Eles dizem que é tão ruim quanto é”.
“Mesmo meu inquilino de teste ou inquilino de julgamento pode solicitar esses tokens do meu próprio inquilino e basicamente personificar outros no inquilino de outra pessoa”, acrescenta Morema. “Isso significa que você pode alterar a configuração de outra pessoa, criar um novo usuário administrador para esse inquilino e fazer o que quiser.”
Dada a gravidade da vulnerabilidade, Molema revelou suas descobertas ao Microsoft Security Response Center em 14 de julho. A Microsoft começou a investigar os resultados do dia e emitiu uma revisão global em 17 de julho. A Companhia confirmou a Molema que o problema havia sido corrigido até 23 de julho e que medidas adicionais foram implementadas em agosto. Microsoft CVE foi emitido Devido à vulnerabilidade de 4 de setembro.
“Como parte de uma iniciativa futura segura, aceleramos o trabalho de reparo em andamento para eliminar o uso desse protocolo herdado”, disse Tom Gallagher, vice -presidente do Centro de Resposta de Segurança da Microsoft. “Implementamos alterações de código na lógica de validação vulnerável, testamos as correções e as aplicamos ao ecossistema da nuvem”.
Gallagher disse que a Microsoft descobriu “nenhuma evidência de abuso” da vulnerabilidade durante sua investigação.
Ambas as vulnerabilidades estão relacionadas a sistemas herdados que ainda estão trabalhando no ID da ENTRA. O primeiro envolve o tipo de token de autenticação do Azure, conhecido como token de ator, emitido por um mecanismo obscuro da Marinha chamado “Serviços de Controle de Acesso”. O token do ator tem propriedades especiais do sistema que Morema reconhece como útil para os atacantes quando combinado com outra vulnerabilidade. Outro bug foi uma grande falha na interface de programação histórica de programação do Application Application Application Application Application, conhecida como “gráficos”, usada para facilitar o acesso a dados armazenados no Microsoft 365. A Microsoft está no processo de depreciar os gráficos do Azure Active Directory e transferir usuários para os gráficos da Microsoft, sucessor projetado para a Enter IDS. Essa falha verificou corretamente que o inquilino do Azure está fazendo solicitações de acesso em relação a falhas com os gráficos do Azure AD. Isso pode ser manipulado para aceitar tokens de ator de outro inquilino que deve ser rejeitado.
