Ця вразливість Microsoft Entra ID може бути катастрофічною

18

Хмарні ризики: як вразливість в Microsoft Entra ID може стати катастрофою та про те, що вона говорить про майбутнє безпеки

В епоху широкого переходу бізнесу до хмари, Microsoft Azure та його система контролю доступу та доступу (ID ENTRA) стали наріжним каменем цифрової інфраструктури для величезної кількості організацій. Обіцянка стандартизованої безпеки та простоти використання, що надається хмарними послугами, зробила їх надзвичайно привабливими. Однак, як нещодавнє відкриття вразливості в Entra ID показало хмарну безпеку – це не лише питання довіри до постачальника, а постійна боротьба з новими загрозами та слабкими місцями.

Нещодавня історія з виявленням та усуненням вразливості в Microsoft Entra ID, завдяки дослідницькій аналітиці Дірк-Ян Моллема, стала справжнім «холодним душем» для багатьох організацій. Молма виявила два критичних недоліків, які потенційно можуть дозволити зловмисникам отримати права глобального адміністратора – насправді контролювати весь каталог ідентифікації (орендар) і, отже, над усіма даними та послугами, пов’язаними з ним. Іншими словами, мова йшла про можливість повного компрометування хмарної інфраструктури.

Чому це так серйозно?

Насправді ID ENTRA -це цифровий ключ до всього, що стосується Microsoft у хмарі: від електронної пошти та файлів до додатків та баз даних. Якщо зловмисник отримує контроль над цим ключем, він може:

  • Створити та видалити облікові записи користувачів: Подається до конфіденційної інформації, перехоплення комунікацій, виконуйте шахрайські дії від імені працівників.
  • Змінити налаштування безпеки: Відключіть багатофакторну автентифікацію, створіть “чорні дірки” для даних, обхід політики безпеки.
  • Доступ до даних: Вилучити конфіденційні дані, такі як фінансові звіти, інтелектуальна власність, особиста інформація клієнтів.
  • Запустіть зловмисне програмне забезпечення: Використовуйте компрометовану інфраструктуру для атак на інші системи.

Технічна глибина: Що насправді сталося?

Уразливості були пов’язані з застарілими технологіями та механізмами аутентифікації, які, незважаючи на їх очевидну невідповідну, продовжували функціонувати в Entra ID. Перша вразливість стосувалася жетонів актора, які були видані незрозумілим механізмом Azure, відомим як “Служба контролю доступу”. Ці жетони мали спеціальні властивості, які можуть бути використані для обходу стандартних механізмів безпеки. Друга вразливість була пов’язана з історичним інтерфейсом програми Azure Active Directory Graph, який використовувався для полегшення доступу до даних. Недоліком було те, що графік Azure AD не завжди перевіряв, який орендар зробив запит на доступ, що дозволило зловмисникам маніпулювати жетонами актора від інших орендарів.

Паралелі з нападом Storm-0558: знайома картина

Відкриття цих вразливих місць особливо тривожне у світлі недавньої атаки китайської групи кіберзайвування шторму-0558, яка вкрала криптографічний ключ, який дозволяє генерувати маркери аутентифікації та отримати доступ до хмарних систем Microsoft. Інцидент із Storm-0558 показав, наскільки важким може бути захист хмарних систем від цільових атак, і підкреслював важливість постійного моніторингу та підвищення безпеки. Уразливості, знайдені Молленом, можуть дозволити зловмисникам піти ще далі, ніж Storm-0558, оскільки вони дали можливість отримати повний контроль над орендарем, а не лише доступу до окремих рахунків.

Реакція Microsoft: швидка відповідь, але системні проблеми залишаються

Microsoft заслуговує на похвалу за швидку відповідь на виявлення вразливості. Компанія розпочала розслідування в той же день, коли їх виявили та випустили виправлення на тиждень. Крім того, Microsoft представила додаткові заходи безпеки в серпні та випустила CVE для вразливості у вересні. Однак інцидент з ID ENTRA також виявив системні проблеми в підходах Microsoft до безпеки хмарних служб. По -перше, наявність застарілих технологій та механізмів аутентифікації, які продовжують функціонувати в критичних системах, неприпустимо. По -друге, Microsoft повинна покращити процеси моніторингу та тестування безпеки хмарних служб для виявлення та усунення вразливості до їх використання зловмисниками.

Що це означає для бізнесу?

Цей інцидент повинен бути тривожним закликом для всіх організацій, які використовують Microsoft Azure. Перехід до хмари не звільняється від відповідальності за безпеку даних та додатків. Бізнес повинен брати активну роль у забезпеченні безпеки своєї хмарної інфраструктури. Ось кілька порад:

  • Увімкніть багатофакторну автентифікацію (MFA) для всіх облікових записів: МЗС значно ускладнює завдання зловмисників, які намагаються отримати доступ до облікових записів.
  • Регулярно перевіряйте налаштування безпеки: Переконайтесь, що всі налаштування безпеки відповідають вашим вимогам.
  • Введіть політику мінімальних привілеїв: Надайте користувачам лише ті права доступу, які їм потрібно виконати свої обов’язки.
  • Введіть інструменти моніторингу безпеки: Відстежуйте активність у хмарній інфраструктурі та визначте підозрілу поведінку.
  • Навчіть працівників принципам безпеки: Навчання працівників – це один із найефективніших способів запобігання нападам.
  • Регулярно проводити аудит безпеки: Залучайте незалежних експертів для проведення аудиту безпеки хмарної інфраструктури.
  • Слідкуйте за оновленнями безпеки Microsoft: Вчасно встановити оновлення безпеки, створені Microsoft.

Особистий досвід та спостереження:

Я працюю в галузі кібербезпеки більше десяти років, і за цей час я бачив багато випадків, пов’язаних із безпекою хмари. Один з найважливіших уроків, які я дізнався, – це те, що хмарна безпека – це не лише питання технології. Це також питання процесів, політика та культури. Організації повинні створити культуру безпеки, в якій кожен працівник розуміє свою роль у забезпеченні безпеки даних та додатків. Інцидент з Entra ID підкреслює важливість постійного моніторингу та підвищення безпеки хмарної інфраструктури. Ви не можете розраховувати на те, що постачальник хмарних служб забезпечить повну безпеку. Бізнес повинен брати активну роль у забезпеченні безпеки своєї хмарної інфраструктури.

Висновок:

Виявлення та усунення вразливості в Microsoft Entra ID стали важливим уроком для всієї хмарної спільноти безпеки. Інцидент показав, що безпека хмари – це постійна боротьба проти нових загроз і слабких сторін. Бізнес повинен брати активну роль у забезпеченні безпеки своєї хмарної інфраструктури, введення надійних процесів, політики та технологій. Microsoft також повинна продовжувати вдосконалювати свої підходи до безпеки хмарних послуг, щоб запобігти таким випадкам у майбутньому. Зрештою, безпека хмари є загальною відповідальністю.