Otkriveni kritični propusti u Microsoft Entra ID

Sigurnosni istraživač Dirk-yan Mollema iz kompanije Outside Security otkrio je dvije ozbiljne ranjivosti u platformi Microsoft Entra ID (nekadašnji Azure Active Directory). Ovi propusti su teoretski mogli napadaču dati prava globalnog administratora u svim Azure katalozima širom svijeta – što bi značilo potpuni pristup korisničkim nalozima, aplikacijama i postavkama.

Kako je propust funkcionisao

Entra ID upravlja korisničkom identifikacijom, pravima pristupa i integracijom aplikacija u Microsoft cloud ekosistemu. Prema Mollemi, ranjivosti su omogućavale kreiranje tzv. “actor tokens”, koji su zatim mogli biti iskorišteni kroz zastarjeli Azure AD Graph interfejs. Na taj način, napadač je mogao „glumiti“ bilo kojeg korisnika unutar tuđeg kataloga, dodavati nove administratore, mijenjati postavke i preuzeti kontrolu nad računima.

Microsoftova reakcija

Istraživač je 14. jula ove godine o problemu obavijestio Microsoft Security Response Center (MSRC). Microsoft je reagovao brzo: prvi patch je izašao 17. jula, a potpuna zakrpa završena je do 23. jula. U avgustu su dodane dodatne sigurnosne mjere, dok su ranjivosti početkom septembra zvanično dobile svoje CVE oznake.

Rizik i posljedice

Do sada nema dokaza da su kriminalci iskoristili ove propuste. Ipak, stručnjaci upozoravaju da bi posljedice mogle biti katastrofalne da je ranjivost zloupotrijebljena – jer bi jedan napadač praktično imao administratorsku kontrolu nad cijelim Azure okruženjem.

Glavni faktor koji je doprinio problemu jeste prisustvo zastarjelih komponenti: Azure AD Graph, koji se postepeno zamjenjuje novim Microsoft Graphom, kao i stari mehanizam za izdavanje tokena kroz Access Control Service.