En tant qu’entreprises autour Le monde a déplacé son infrastructure numérique au cours de la dernière décennie des serveurs auto-hébergés à la nuageils ont bénéficié des fonctionnalités de sécurité standardisées et intégrées des principaux fournisseurs de cloud comme Microsoft. Mais avec tant de conduite sur ces systèmes, il peut y avoir potentiellement conséquences désastreuses à une échelle huge si quelque selected ne va pas. Exemple: le chercheur en sécurité Dirk-Jan Mollema a récemment trébuché sur un paire de vulnérabilités Dans la plate-forme d’identité et de gestion d’accès de Microsoft Azure, qui aurait pu être exploitée pour une prise de contrôle potentiellement cataclysmique de tous les comptes purchasers Azure.
Connu sous le nom d’identification ENTRA, le système stocke chaque identité utilisateur du consumer Azure Cloud, les contrôles d’accès, les functions et les outils de gestion de l’abonnement. Mollema a étudié la sécurité de l’ID ENTRA en profondeur et publié plusieurs études sur les faiblesses du système, qui était autrefois connue sous le nom d’Azure Lively Listing. Mais tout en se préparant à présent Lors de la Black Hat Safety Convention à Las Vegas en juillet, Mollema a découvert deux vulnérabilités qu’il a réalisées pourrait être utilisée pour obtenir des privilèges d’administrateur mondial – en mode Dieu – et compromettre chaque répertoire d’identification ENTRA, ou ce que l’on appelle un «locataire». Mollema dit que cela aurait exposé presque tous les locataires ENTRA ID dans le monde autre que, peut-être, les infrastructures du cloud gouvernemental.
«Je regardais juste mon écran. Je me disais:« Non, cela ne devait pas vraiment arriver », explique Mollema, qui dirige la société néerlandaise de cybersécurité ou spécialise dans la sécurité du cloud. « C’était assez mauvais. Aussi mauvais que cela obtienne, je dirais. »
«De mes propres locataires – mon locataire de take a look at ou même un locataire de procès – vous pourriez demander ces jetons et vous pourriez se faire passer pour un locataire de quelqu’un d’autre», ajoute Mollema. «Cela signifie que vous pouvez modifier la configuration des autres, créer des utilisateurs nouveaux et administrateurs dans ce locataire et faire tout ce que vous souhaitez.»
Compte tenu de la gravité de la vulnérabilité, Mollema a révélé ses conclusions au Microsoft Safety Response Middle le 14 juillet, le même jour qu’il a découvert les défauts. Microsoft a commencé à enquêter sur les conclusions ce jour-là et a publié un correctif à l’échelle mondiale le 17 juillet. La société a confirmé à Mollema que le problème avait été résolu le 23 juillet et a mis en œuvre des mesures supplémentaires en août. Microsoft a émis un cve pour la vulnérabilité du 4 septembre.
« Nous avons rapidement atténué le problème nouvellement identifié et accéléré les travaux de correction en cours pour inclure cette utilisation du protocole hérité, dans le cadre de notre initiative future sécurisée », a déclaré Tom Gallagher, vice-président de l’ingénierie du centre de réponse de la sécurité de Microsoft, dans un communiqué. «Nous avons implémenté un changement de code dans la logique de validation vulnérable, testé le correctif et l’avoir appliqué sur notre écosystème de cloud.»
Gallagher dit que Microsoft n’a trouvé «aucune preuve d’abus» de la vulnérabilité au cours de son enquête.
Les deux vulnérabilités se rapportent aux systèmes hérités qui fonctionnent toujours dans l’identification ENTRA. Le premier implique un sort de token de jeton d’authentification Azure découvert connu sous le nom de jetons d’acteur qui sont émis par un mécanisme d’asure obscur appelé «service de contrôle d’accès». Les jetons d’acteurs ont des propriétés spéciales du système que Mollema a réalisées pourrait être utile à un attaquant lorsqu’il est combiné avec une autre vulnérabilité. L’autre bug était un défaut majeur dans une interface de programmation historique Azure Lively Listing Utility appelée «graphique» qui a été utilisée pour faciliter l’accès aux données stockées dans Microsoft 365. Microsoft est en practice de retirer le graphique Azure Lively Listing et les utilisateurs en transition vers son successeur, Microsoft Graph, qui est conçu pour l’ID ENTRA. La faille était liée à un échec par Azure AD Graph pour valider correctement quel locataire Azure faisait une demande d’accès, qui pourrait être manipulée afin que l’API accepte un jeton d’acteur d’un locataire différent qui aurait dû être rejeté.
