微软Entra ID高危漏洞可能引发全球云安全灾难

安全研究人员在微软Entra ID身份管理系统中发现两个严重漏洞,攻击者可能借此获得全局管理员权限并控制几乎所有Azure客户账户。微软已在发现后迅速修复,避免了潜在的灾难性后果。

微软Entra ID漏洞可能造成灾难性后果

一对存在于微软Entra ID身份和访问管理系统中的漏洞,本可能允许攻击者获取几乎所有Azure客户账户的访问权限。

随着全球企业过去十年将数字基础设施从自托管服务器转向云端,它们受益于微软等主要云提供商标准化、内置的安全功能。但这些系统承载着如此重要的任务,一旦出现问题,可能会在巨大规模上带来潜在的灾难性后果。典型案例是:安全研究员Dirk-jan Mollema最近偶然发现了微软Azure身份和访问管理平台中的两个漏洞,本可能被利用来灾难性地接管所有Azure客户账户。

这个被称为Entra ID的系统存储着每个Azure云客户的用户身份、登录访问控制、应用程序和订阅管理工具。Mollema深入研究了Entra ID的安全性,并发布了多篇关于该系统弱点的研究报告,该系统前身为Azure Active Directory。但在准备7月份拉斯维加斯Black Hat安全会议的演讲时,Mollema发现了两个漏洞,他意识到这些漏洞可被用来获取全局管理员权限——基本上是"上帝模式"——并危及每个Entra ID目录,即所谓的"租户"。Mollema表示,这将暴露世界上几乎每个Entra ID租户,也许政府云基础设施除外。

“我只是盯着屏幕。我想,‘不,这不应该真的发生,’“Mollema说,他经营荷兰网络安全公司Outsider Security并专攻云安全。“这相当糟糕。我会说,这是最糟糕的情况。”

“从我自己的租户——我的测试租户甚至试用租户——你可以请求这些令牌,你基本上可以冒充任何其他租户中的任何人,“Mollema补充道。“这意味着你可以修改其他人的配置,在该租户中创建新的管理员用户,并做任何你想做的事情。”

考虑到漏洞的严重性,Mollema于7月14日发现这些缺陷的同一天向微软安全响应中心披露了他的发现。微软当天开始调查,并于7月17日全球发布了修复程序。公司向Mollema确认问题在7月23日前已修复,并在8月实施了额外措施。微软于9月4日为该漏洞发布了CVE。

“我们迅速缓解了新发现的问题,并加速了正在进行的退役此遗留协议使用的工作,作为我们安全未来计划的一部分,“微软安全响应中心工程副总裁Tom Gallagher在给WIRED的声明中表示。“我们在易受攻击的验证逻辑中实施了代码更改,测试了修复程序,并将其应用于我们的云生态系统。”

Gallagher表示,微软在调查期间"未发现滥用"该漏洞的证据。

这两个漏洞都与Entra ID中仍在运行的遗留系统有关。第一个涉及Mollema发现的一种名为Actor Tokens的Azure认证令牌,由一个名为"访问控制服务"的晦涩Azure机制签发。Mollema意识到,当与另一个漏洞结合使用时,Actor Tokens具有一些可能对攻击者有用的特殊系统属性。另一个错误是历史悠久的Azure Active Directory应用程序编程接口"Graph"中的一个主要缺陷,该接口用于促进对Microsoft 365中存储数据的访问。微软正在退役Azure Active Directory Graph并将其用户过渡到其继任者Microsoft Graph,后者专为Entra ID设计。该缺陷与Azure AD Graph未能正确验证哪个Azure租户正在发出访问请求有关,这可能被操纵,使API接受来自本应被拒绝的不同租户的Actor Token。

“微软围绕身份构建了安全控制,如条件访问和日志,但这种内部印象令牌机制绕过了所有控制,“安全公司Zenity的CTO Michael Bargury说。“这是你在身份提供商中可以找到的最有影响力的漏洞,有效地允许完全破坏任何客户的任何租户。”

如果该漏洞被恶意黑客发现或落入其手中,后果可能是毁灭性的。

“我们不需要猜测影响可能是什么;两年前当Storm-0558破坏了一个允许他们以任何租户的任何用户身份登录的签名密钥时,我们已经看到了,“Bargury说。

虽然具体技术细节不同,但微软在2023年7月透露,被称为Storm-0558的中国网络间谍组织窃取了一个加密密钥,使他们能够生成认证令牌并访问基于云的Outlook电子邮件系统,包括属于美国政府部门的系统。

对Storm-0558攻击的事后分析显示,导致该中国组织绕过云防御的几个错误。该安全事件是当时微软一系列问题之一。这些事件促使公司启动其"安全未来计划”,该计划扩展了对云安全系统的保护,并为响应漏洞披露和发布补丁设定了更积极的目标。

Mollema表示,微软对他的发现反应非常迅速,似乎理解了它们的紧迫性。但他强调,他的发现本可能允许恶意黑客比他们在2023年事件中走得更远。

“利用该漏洞,你可以将自己添加为租户中最高权限的管理员,然后你就拥有完全访问权限,“Mollema说。任何"你使用EntraID登录的微软服务,无论是Azure、SharePoint还是Exchange——都可能因此被破坏。”

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次