Một lỗ hổng bảo mật nghiêm trọng trong hệ thống Entra ID của Microsoft đã được phát hiện, có thể cho phép kẻ tấn công giành quyền truy cập Global Admin vào bất kỳ tenant nào trên toàn thế giới bằng cách sử dụng Actor token. Lỗ hổng này đại diện cho một trong những vấn đề bảo mật đám mây nghiêm trọng nhất từng được tiết lộ, có khả năng ảnh hưởng đến hàng triệu tổ chức đang sử dụng nền tảng nhận dạng của Microsoft.
Phản ứng của cộng đồng làm nổi bật mức độ nghiêm trọng và lo ngại về thiết kế
Cộng đồng bảo mật đã phản ứng với sự sốc và lo ngại về bản chất cơ bản của lỗ hổng này. Nhiều chuyên gia đang đặt câu hỏi liệu điều này có phải là một lỗi thiết kế hay có thể là điều gì đó có chủ ý hơn. Phát hiện này đã khơi dậy cuộc tranh luận sôi nổi về kiến trúc bảo mật của các hệ thống nhận dạng đám mây mà hàng triệu tổ chức phụ thuộc vào hàng ngày.
Các chuyên gia kỹ thuật đã chỉ ra rằng Actor token bỏ qua các biện pháp bảo mật quan trọng như chính sách Conditional Access, điều này đi ngược lại các nguyên tắc bảo mật cơ bản. Điều này có nghĩa là các token có thể hoạt động mà không cần các kiểm tra an toàn thông thường mà các tổ chức dựa vào để bảo vệ hệ thống của họ.
Chi tiết kỹ thuật chính:
- Phạm vi chênh lệch Object ID: từ 100.000 đến 150 triệu
- Thời gian brute force: từ vài phút đến vài giờ tùy thuộc vào quy mô tenant
- Số lượng API calls cần thiết cho mỗi tenant: 2 lần gọi
- Tạo audit log: Không có trong giai đoạn trinh sát
- Khả năng bypass: Bỏ qua các chính sách Conditional Access
Chuỗi tấn công xuyên tenant khai thác mối quan hệ tin cậy B2B
Lỗ hổng trở nên đặc biệt nguy hiểm khi kết hợp với các mối quan hệ người dùng khách Business-to-Business (B2B) giữa các tenant. Kẻ tấn công có thể bắt đầu chỉ với quyền truy cập vào một tenant và nhanh chóng lan truyền đến nhiều tổ chức bằng cách khai thác các mối quan hệ tin cậy tồn tại khi các công ty mời người dùng bên ngoài.
Cuộc tấn công hoạt động bằng cách đọc thông tin người dùng khách từ một tenant, sau đó sử dụng dữ liệu đó để mạo danh người dùng trong tổ chức chính của họ. Điều này tạo ra hiệu ứng dây chuyền khi xâm phạm một tenant dẫn đến quyền truy cập trên nhiều tenant khác. Quá trình này chỉ yêu cầu hai lệnh gọi API cho mỗi tenant mục tiêu và không tạo ra nhật ký bảo mật nào, khiến việc phát hiện gần như không thể.
Bảo mật yếu đến mức, có vẻ như bạn đã phát hiện ra một backdoor có chủ ý.
Phương pháp Khai thác Lòng tin B2B:
- Truy vấn người dùng khách và ID thuộc tính sourceAnchor của họ
- Xác định ID tenant từ tên miền trong UPN của người dùng
- Tạo token mạo danh cho nạn nhân trong tenant gốc
- Tìm và mạo danh Global Admins để có toàn quyền kiểm soát
- Lặp lại quy trình trên các tenant mới bị xâm phạm
 |
|---|
| Trực quan hóa token Signed Actor được sử dụng trong các cuộc tấn công cross-tenant tiềm ẩn khai thác mối quan hệ B2B |
Phương pháp brute force khiến bất kỳ tenant nào đều dễ bị tấn công
Ngay cả khi không có quyền truy cập hiện tại hoặc mối quan hệ khách, kẻ tấn công có thể xâm phạm bất kỳ tenant nào thông qua các kỹ thuật brute force. Lỗ hổng cho phép đoán có hệ thống các object ID của người dùng, được tạo ngẫu nhiên nhưng nằm trong các phạm vi có thể dự đoán được. Đối với các tổ chức lớn hơn với nhiều người dùng hơn, phương pháp brute force này trở nên hiệu quả hơn vì có nhiều mục tiêu tiềm năng hơn để tấn công.
Nhà nghiên cứu phát hiện rằng sự khác biệt giữa các object ID thường dao động từ 100.000 đến 150 triệu, khiến các cuộc tấn công brute force có thể thực hiện được trong vòng vài phút đến vài giờ. Vì những nỗ lực này không tạo ra nhật ký kiểm tra nào, các tổ chức sẽ không có cách nào để phát hiện các hoạt động thăm dò như vậy.
Các Bước Tấn Công để Xâm Phạm Qua Tenant:
- Tìm ID tenant nạn nhân sử dụng API công khai và tên miền
- Xác định ID người dùng hợp lệ thông qua brute force hoặc mối quan hệ B2B
- Tạo token mạo danh sử dụng Actor token của kẻ tấn công
- Liệt kê các Global Admin trong tenant mục tiêu
- Tạo token mạo danh cho tài khoản Global Admin
- Thực hiện các hành động trái phép thông qua Azure AD Graph API
Phản ứng của Microsoft và tác động đến ngành
Microsoft đã thừa nhận và vá lỗ hổng này, mặc dù chi tiết về bất kỳ khoản thanh toán bug bounty tiềm năng nào vẫn chưa rõ ràng. Thời gian phản ứng của công ty và phạm vi của bản vá có thể sẽ ảnh hưởng đến cách cộng đồng bảo mật nhìn nhận cam kết của Microsoft đối với bảo mật đám mây trong tương lai.
Phát hiện này đặt ra những câu hỏi rộng hơn về thiết kế bảo mật của các hệ thống nhận dạng đám mây. Khi các tổ chức ngày càng dựa vào các nhà cung cấp nhận dạng dựa trên đám mây, các lỗ hổng như thế này chứng minh quy mô tác động khổng lồ khi các giả định bảo mật cơ bản được chứng minh là không chính xác.
Actor token: Các token xác thực đặc biệt được sử dụng nội bộ bởi các dịch vụ Microsoft để thực hiện các hành động thay mặt cho ứng dụng hoặc dịch vụ trên các tenant khác nhau.
Mối quan hệ tin cậy B2B: Quan hệ đối tác kinh doanh cho phép người dùng từ một tổ chức truy cập tài nguyên trong tenant của tổ chức khác với tư cách là người dùng khách.
Tham khảo: One Token to rule them all - obtaining Global Admin in every Entra ID tenant via Actor tokens