Falhas Críticas no Microsoft Entra ID Acarretam Patch Global Rápido
Pontos principais
- Pesquisador Dirk-jan Mollema descobriu duas vulnerabilidades críticas no Entra ID.
- Falhas envolviam o mau uso de Tokens de Ator e um erro de validação de locatário na API do Azure AD Graph.
- Exploração poderia ter concedido direitos de administrador global em todos os locatários de nuvem.
- Microsoft investigou rapidamente, não encontrou abuso e implantou uma correção global.
- O incidente destaca os riscos dos mecanismos de autenticação legados.
- Microsoft está aposentando o protocolo desatualizado sob sua Iniciativa de Futuro Seguro.
O pesquisador de segurança Dirk-jan Mollema descobriu duas falhas graves na plataforma de identidade Microsoft Entra ID que poderiam ter permitido que atacantes obtivessem direitos de administrador global em todos os locatários de nuvem. As vulnerabilidades envolviam o mau uso de Tokens de Ator e um erro de validação na API do Azure AD Graph legada. O Centro de Resposta de Segurança da Microsoft investigou rapidamente, confirmou que não havia evidências de abuso e implantou uma correção em todo o ecossistema de nuvem. O incidente destaca os riscos associados a mecanismos de autenticação legados e reforça a iniciativa da Microsoft de aposentar protocolos desatualizados sob sua Iniciativa de Futuro Seguro.
Contexto
A plataforma de identidade Microsoft Entra ID, anteriormente conhecida como Azure Active Directory, serve como o sistema central de gerenciamento de identidade e acesso para os serviços Azure e Microsoft 365. À medida que as organizações dependem cada vez mais de plataformas de nuvem, a segurança do Entra ID se torna crítica para proteger credenciais de usuário, acesso a aplicativos e gerenciamento de assinaturas.
Vulnerabilidades Descobertas
O pesquisador de segurança Dirk-jan Mollema, que dirige a empresa holandesa Outsider Security, identificou duas falhas relacionadas. A primeira envolve Tokens de Ator emitidos pelo Serviço de Controle de Acesso, um mecanismo de autenticação raramente usado. A segunda falha reside na API do Azure AD Graph histórica, que não validou corretamente a origem do locatário de uma solicitação. Quando combinadas, essas questões poderiam permitir que um atacante apresentasse um Token de Ator de um locatário para a API do Graph de outro, bypassando verificações de segurança normais e concedendo privilégios de administrador global.
Resposta da Microsoft
Após Mollema relatar as descobertas ao Centro de Resposta de Segurança da Microsoft, a empresa lançou uma investigação imediata. Em um curto período, a Microsoft confirmou as vulnerabilidades, não encontrou evidências de exploração e implantou uma alteração de código que corrigiu a lógica de validação. A correção foi distribuída em todo o ambiente de nuvem, e a Microsoft anunciou medidas adicionais para aposentar o protocolo legado como parte de sua Iniciativa de Futuro Seguro.
Impacto Potencial
Se as falhas tivessem sido exploradas, atacantes poderiam ter se passado por qualquer usuário em qualquer locatário, modificado configurações, criado contas privilegiadas e acessado todos os serviços que dependem do Entra ID, incluindo Azure, SharePoint e Exchange. A gravidade foi comparada a um incidente anterior em que um grupo de espionagem chinês roubou uma chave de assinatura que permitiu gerar tokens de autenticação para vários serviços da Microsoft.
Reações da Indústria
Especialistas em segurança destacaram a importância da descoberta, observando que as vulnerabilidades representam um caso raro de comprometimento de locatário completo em um grande provedor de identidade. A remediação rápida da Microsoft foi elogiada como um exemplo de coordenação eficaz entre pesquisadores independentes e equipes de segurança de fornecedores.