Kelemahan keselamatan kritikal dalam sistem Microsoft Entra ID telah ditemui yang boleh membenarkan penyerang mendapat akses Global Admin kepada mana-mana tenant di seluruh dunia menggunakan token Actor. Kelemahan ini mewakili salah satu isu keselamatan awan yang paling teruk pernah didedahkan, berpotensi menjejaskan berjuta-juta organisasi yang menggunakan platform identiti Microsoft.
Reaksi Komuniti Menonjolkan Keterukan dan Kebimbangan Reka Bentuk
Komuniti keselamatan telah bertindak balas dengan kejutan dan kebimbangan mengenai sifat asas kelemahan ini. Ramai pakar mempersoalkan sama ada ini mewakili kelemahan reka bentuk atau sesuatu yang lebih disengajakan. Penemuan ini telah mencetuskan perdebatan sengit mengenai seni bina keselamatan sistem identiti awan yang bergantung kepada berjuta-juta organisasi setiap hari.
Pakar teknikal telah menunjukkan bahawa token Actor memintas langkah keselamatan kritikal seperti dasar Conditional Access, yang bertentangan dengan prinsip keselamatan asas. Ini bermakna token tersebut boleh beroperasi tanpa pemeriksaan keselamatan biasa yang organisasi bergantung untuk melindungi sistem mereka.
Butiran Teknikal Utama:
- Julat perbezaan ID objek: 100,000 hingga 150 juta
- Masa kaedah kekerasan: Minit hingga jam bergantung kepada saiz penyewa
- Panggilan API diperlukan bagi setiap penyewa: 2 panggilan
- Penjanaan log audit: Tiada semasa fasa peninjauan
- Keupayaan memintas: Dasar Akses Bersyarat diabaikan
Rantaian Serangan Merentas Tenant Mengeksploitasi Hubungan Kepercayaan B2B
Kelemahan ini menjadi sangat berbahaya apabila digabungkan dengan hubungan pengguna tetamu Business-to-Business (B2B) antara tenant. Penyerang boleh bermula dengan akses kepada hanya satu tenant dan dengan cepat merebak kepada pelbagai organisasi dengan mengeksploitasi hubungan kepercayaan yang wujud apabila syarikat menjemput pengguna luar.
Serangan ini berfungsi dengan membaca maklumat pengguna tetamu dari satu tenant, kemudian menggunakan data tersebut untuk menyamar sebagai pengguna dalam organisasi asal mereka. Ini mewujudkan kesan berturut-turut di mana menjejaskan satu tenant membawa kepada akses merentas banyak yang lain. Proses ini memerlukan hanya dua panggilan API setiap tenant sasaran dan tidak menghasilkan log keselamatan, menjadikan pengesanan hampir mustahil.
Keselamatan yang begitu lemah, ia seolah-olah anda menemui pintu belakang yang disengajakan.
Kaedah Eksploitasi Kepercayaan B2B:
- Pertanyaan pengguna tetamu dan ID atribut sourceAnchor mereka
- Tentukan ID tenant daripada nama domain dalam UPN pengguna
- Cipta token penyamaran untuk mangsa dalam tenant asal
- Cari dan samar Global Admins untuk kawalan penuh
- Ulang proses merentasi tenant yang baru dikompromi
 |
|---|
| Visualisasi token Signed Actor yang digunakan dalam serangan merentas penyewa berpotensi yang mengeksploitasi hubungan B2B |
Kaedah Brute Force Menjadikan Mana-mana Tenant Terdedah
Walaupun tanpa akses sedia ada atau hubungan tetamu, penyerang berpotensi menjejaskan mana-mana tenant melalui teknik brute force. Kelemahan ini membenarkan tekaan sistematik ID objek pengguna, yang dijana secara rawak tetapi jatuh dalam julat yang boleh diramal. Untuk organisasi yang lebih besar dengan lebih ramai pengguna, pendekatan brute force ini menjadi lebih berkesan kerana terdapat lebih banyak sasaran berpotensi untuk dipukul.
Penyelidik mendapati bahawa perbezaan antara ID objek biasanya berkisar dari 100,000 hingga 150 juta, menjadikan serangan brute force boleh dilaksanakan dalam masa minit hingga jam. Memandangkan percubaan ini tidak menghasilkan log audit, organisasi tidak akan mempunyai cara untuk mengesan aktiviti penyiasatan sedemikian.
Langkah Serangan untuk Kompromi Merentas Penyewa:
- Cari ID penyewa mangsa menggunakan API awam dan nama domain
- Kenal pasti ID pengguna yang sah melalui serangan paksa brute atau hubungan B2B
- Bina token penyamaran menggunakan token Actor penyerang
- Senaraikan Global Admin dalam penyewa sasaran
- Cipta token penyamaran untuk akaun Global Admin
- Lakukan tindakan tidak dibenarkan melalui Azure AD Graph API
Respons Microsoft dan Kesan Industri
Microsoft telah mengakui dan menampal kelemahan ini, walaupun butiran mengenai sebarang pembayaran bug bounty yang berpotensi masih tidak jelas. Masa respons syarikat dan skop pembetulan berkemungkinan akan mempengaruhi cara komuniti keselamatan melihat komitmen Microsoft terhadap keselamatan awan pada masa hadapan.
Penemuan ini menimbulkan persoalan yang lebih luas mengenai reka bentuk keselamatan sistem identiti awan. Memandangkan organisasi semakin bergantung kepada penyedia identiti berasaskan awan, kelemahan seperti ini menunjukkan skala besar kesan berpotensi apabila andaian keselamatan asas terbukti tidak betul.
Token Actor: Token pengesahan khas yang digunakan secara dalaman oleh perkhidmatan Microsoft untuk melakukan tindakan bagi pihak aplikasi atau perkhidmatan merentas tenant yang berbeza.
Hubungan kepercayaan B2B: Perkongsian perniagaan yang membenarkan pengguna dari satu organisasi mengakses sumber dalam tenant organisasi lain sebagai pengguna tetamu.
Rujukan: One Token to rule them all - obtaining Global Admin in every Entra ID tenant via Actor tokens