Flaws críticos en Microsoft Entra ID provocan parche global rápido
Puntos clave
- El investigador Dirk-jan Mollema descubrió dos vulnerabilidades críticas en Entra ID.
- Los fallos involucraban el mal uso de Tokens de Actor y un error de validación de inquilino en Azure AD Graph.
- La explotación podría haber otorgado derechos de administrador global en todos los inquilinos de la nube.
- Microsoft investigó rápidamente, no encontró abuso y desplegó una solución global.
- El incidente destaca los riesgos de los mecanismos de autenticación heredados.
- Microsoft está retirando el protocolo obsoleto bajo su Iniciativa de Futuro Seguro.
El investigador de seguridad Dirk-jan Mollema descubrió dos fallos serios en la plataforma de identidad Microsoft Entra ID que podrían haber permitido a los atacantes obtener derechos de administrador global en todos los inquilinos de la nube. Las vulnerabilidades involucraban el mal uso de Tokens de Actor y un error de validación en la API de Azure AD Graph heredada. El Centro de Respuesta de Seguridad de Microsoft investigó rápidamente, confirmó que no había evidencia de abuso y desplegó una solución en todo su ecosistema de nube. El incidente destaca los riesgos asociados con los mecanismos de autenticación heredados y subraya la iniciativa de Microsoft de retirar protocolos obsoletos bajo su Iniciativa de Futuro Seguro.
Antecedentes
Microsoft Entra ID, anteriormente conocido como Azure Active Directory, sirve como el sistema central de identidad y administración de acceso para los servicios de Azure y Microsoft 365. A medida que las organizaciones dependen cada vez más de las plataformas de nube, la seguridad de Entra ID se vuelve crítica para proteger las credenciales de los usuarios, el acceso a aplicaciones y la administración de suscripciones.
Vulnerabilidades descubiertas
El investigador de seguridad Dirk-jan Mollema, quien dirige la empresa holandesa Outsider Security, identificó dos fallos relacionados. El primero involucra Tokens de Actor emitidos por el Servicio de Control de Acceso, un mecanismo de autenticación poco utilizado. El segundo fallo reside en la API de Azure AD Graph histórica, que no validaba correctamente el origen del inquilino de una solicitud. Cuando se combinan, estos problemas podrían permitir que un atacante presente un Token de Actor de un inquilino al API de Graph de otro, evitando las verificaciones de seguridad normales y otorgando privilegios de administrador global.
Respuesta de Microsoft
Después de que Mollema informó los hallazgos al Centro de Respuesta de Seguridad de Microsoft, la empresa lanzó una investigación inmediata. En un corto período, Microsoft confirmó las vulnerabilidades, no encontró evidencia de explotación y desplegó un cambio de código que corrigió la lógica de validación. La solución se implementó en todo el entorno de nube y Microsoft anunció medidas adicionales para retirar el protocolo heredado como parte de su Iniciativa de Futuro Seguro.
Impacto potencial
Si los fallos hubieran sido explotados, los atacantes podrían haber impersonado a cualquier usuario en cualquier inquilino, modificado configuraciones, creado cuentas con privilegios y accedido a todos los servicios que dependen de Entra ID, incluidos Azure, SharePoint y Exchange. La gravedad se comparó con un incidente anterior en el que un grupo de espionaje chino robó una clave de firma que les permitió generar tokens de autenticación para numerosos servicios de Microsoft.
Reacciones de la industria
Los expertos en seguridad destacaron la importancia del descubrimiento, señalando que las vulnerabilidades representaban un caso rareo de compromiso de inquilino completo en un proveedor de identidad importante. La rápida solución de Microsoft fue elogiada como un ejemplo de coordinación efectiva entre investigadores independientes y equipos de seguridad de proveedores.