Como negocios alrededor El mundo ha cambiado su infraestructura digital en la última década de servidores autohospedados a la nube, se han beneficiado de las características de seguridad estandarizadas y incorporadas de los principales proveedores de la nube como Microsoft. Pero con tanta conducción en estos sistemas, puede haber consecuencias potencialmente desastrosas a gran escala si algo sale mal. Caso en cuestión: el investigador de seguridad Dirk-Jan Mollema se topó con un vulnerabilidades En la plataforma de gestión de identidad y acceso de Microsoft Azure, que podría haber sido explotada para una adquisición potencialmente cataclísmica de todas las cuentas de clientes de Azure.
Conocido como Entra ID, el sistema almacena las identidades de usuario de cada cliente de Azure Cloud, controles de acceso de inicio de sesión, aplicaciones y herramientas de gestión de suscripción. Mollema ha estudiado la seguridad de Entra Id en profundidad y ha publicado múltiples estudios sobre debilidades en el sistema, que anteriormente se conocía como Azure Active Directory. Pero mientras se prepara para presente En la Conferencia de Seguridad de Black Hat en Las Vegas en julio, Mollema descubrió dos vulnerabilidades que se dio cuenta que podrían usarse para obtener privilegios de administrador global, esencialmente el modo de Dios, y comprometió cada directorio de ID de Entra, o lo que se conoce como un “inquilino”. Mollema dice que esto habría expuesto a casi todos los inquilinos de Entra Id en el mundo que no sea, tal vez, la infraestructura de la nube gubernamental.
“Estaba mirando mi pantalla. Estaba como, ‘No, esto no debería suceder realmente'”, dice Mollema, quien dirige la compañía de seguridad cibernética holandesa Security y se especializa en seguridad en la nube. “Fue bastante malo. Por mal que sea, diría”.
“De mis propios inquilinos, mi inquilino de prueba o incluso un inquilino de prueba, podría solicitar estos tokens y se puede hacer pasar por cualquier otra persona en el inquilino de cualquier otra persona”, agrega Mollema. “Eso significa que podría modificar la configuración de otras personas, crear usuarios nuevos y administrativos en ese inquilino y hacer cualquier cosa que quiera”.
Dada la gravedad de la vulnerabilidad, Mollema reveló sus hallazgos al Centro de Respuesta a la Seguridad de Microsoft el 14 de julio, el mismo día que descubrió las fallas. Microsoft comenzó a investigar los hallazgos ese día y emitió una solución a nivel mundial el 17 de julio. La compañía confirmó a Mollema que el problema se solucionó antes del 23 de julio e implementó medidas adicionales en agosto. Microsoft emitido una cVE por la vulnerabilidad el 4 de septiembre.
“Mitigamos el problema recién identificado rápidamente, y aceleramos el trabajo de remediación en curso para desmantelar este uso de protocolo heredado, como parte de nuestra iniciativa segura futura”, dijo a Wired en un comunicado de Tom Gallagher, vicepresidente de ingeniería del Centro de Respuesta a Seguridad de Microsoft. “Implementamos un cambio de código dentro de la lógica de validación vulnerable, probamos la solución y lo aplicamos a través de nuestro ecosistema en la nube”.
Gallagher dice que Microsoft no encontró “evidencia de abuso” de la vulnerabilidad durante su investigación.
Ambas vulnerabilidades se relacionan con los sistemas heredados que aún funcionan dentro de Entra ID. El primero implica un tipo de Azure Authentication Token Mollema descubierto conocido como tokens de actores emitidos por un oscuro mecanismo de Azure llamado “servicio de control de acceso”. Los tokens de actores tienen algunas propiedades especiales del sistema que Mollema se dio cuenta de que podrían ser útiles para un atacante cuando se combinan con otra vulnerabilidad. El otro error fue un defecto importante en una interfaz histórica de programación de aplicaciones de Azure Active Directory conocida como “gráfico” que se utilizó para facilitar el acceso a los datos almacenados en Microsoft 365. Microsoft está en el proceso de retirar el gráfico Azure Active Directory y la transición de los usuarios a su sucesor, Microsoft Graph, que está diseñado para Entra Id. El defecto estaba relacionado con una falla por parte de Azure AD Graph para validar correctamente qué inquilino Azure estaba haciendo una solicitud de acceso, que podría manipularse para que la API aceptara un token actor de un inquilino diferente que debería haber sido rechazado.
