Обнаруженная уязвимость в сервисе Microsoft Entra ID могла привести к глобальной киберкатастрофе, предоставив злоумышленникам полный контроль над аккаунтами практически всех клиентов Azure. Только быстрая реакция исследователя и компании предотвратила худший сценарий, который мог бы затмить все известные кибератаки.
Представьте себе ключ, который открывает дверь в любое облачное хранилище в мире. Именно такой «ключ» случайно нашел исследователь безопасности Дирк-Ян Моллема, изучая систему управления доступом Microsoft Entra ID, которой ежемесячно пользуются более 610 миллионов активных пользователей. Находка могла бы стать самым масштабным инцидентом в истории облачных технологий.
Тихая угроза «режима бога»
Готовясь к выступлению на конференции по безопасности Black Hat, Моллема наткнулся на две, на первый взгляд, незначительные уязвимости в системе, ранее известной как Azure Active Directory. Однако их комбинация позволяла получить права глобального администратора, по сути, «режим бога», в системе любого клиента Microsoft, за исключением, возможно, правительственных облачных инфраструктур.
Злоумышленник мог бы:
- Получить полный доступ к данным любой компании;
- Создавать новых администраторов и управлять конфигурациями;
- Похищать конфиденциальную информацию, включая почту, документы и другие данные, хранящиеся в сервисах Microsoft 365.
Наибольшую опасность представляло то, что такой взлом происходил бы совершенно незаметно для систем безопасности. Ни многофакторная аутентификация, ни другие протоколы защиты не сработали бы, поскольку уязвимость позволяла обойти их все. «Я просто смотрел на экран и не мог поверить. Это не должно было произойти», — комментирует Моллема.
Устаревшие технологии и быстрая реакция
Причиной проблемы стали устаревшие компоненты, которые все еще функционируют в недрах современной системы Entra ID. В частности, речь идет о старом механизме аутентификации «Access Control Service» и устаревшем программном интерфейсе «Graph». Их взаимодействие создавало «слепую зону», которой и могли воспользоваться хакеры.
Осознав всю серьезность ситуации, исследователь немедленно сообщил о находке Центру реагирования на угрозы безопасности Microsoft 14 июля. Реакция компании была мгновенной. Уже через три дня, 17 июля, было выпущено глобальное обновление, закрывающее критическую «дыру». В Microsoft заверили, что не обнаружили никаких доказательств использования этой уязвимости злоумышленниками. Этот инцидент стал еще одним толчком для инициативы Secure Future Initiative, запущенной Microsoft для усиления безопасности своих продуктов.
Эта история является ярким напоминанием о том, что даже в самых надежных системах мировых гигантов могут скрываться критические ошибки. В то же время она демонстрирует важность сотрудничества между независимыми исследователями и корпорациями для обеспечения общей цифровой безопасности. Ведь на этот раз мир был в шаге от катастрофы, которой удалось избежать.
