Инструмент Microsoft Azure имеет серьезную уязвимость в системе безопасности

Облачная служба управления идентификацией и доступом (IAM) Microsoft Azure Active Directory (Azure AD) содержит серьезную уязвимость, позволяющую злоумышленникам устанавливать бэкдоры.

Инструмент Microsoft Azure имеет серьезную уязвимость в системе безопасности. Фото: СС0

Данные подтверждаются обширным исследованием, проведенным Secureworks Counter Threat Unit (CTU). В нем говорится, что проблема также может позволить хакерам изменять права доступа, чтобы обойти многофакторную аутентификацию и заблокировать доступ администратора без надлежащего ведения журнала, а также собирать информацию о конфигурациях политик дл будущих атак.

Azure AD поддерживает несколько методов проверки подлинности, а расширенная версия также поддерживает политики условного доступа (CAP), которые предоставляют или блокируют доступ на основе различных критериев, таких как соответствие устройства или местоположение пользователя. Служба IAM хранит эти настройки, позволяя изменять CAP через портал, PowerShell или вызовы API.

Исследователи решили посмотреть, какие API позволяют редактировать настройки CAP, и нашли три.

Один из трех, названный AADGraph, был единственным, позволявшим пользователям изменять все настройки CAP, включая метаданные. Исследователи говорят, что это позволяет администраторам вмешиваться в такие вещи, как временные метки создания и изменения, и, учитывая, что изменения, сделанные с использованием AADGraph, не регистрировались должным образом, целостность политик Azure AD, таким образом, находились под угрозой.

Исследователи поделились своими выводами с Microsoft в конце мая 2022 года, которая через месяц подтвердила выводы, но заявила, что это не ошибка, а функция. Однако год спустя Microsoft уведомила исследователей CTU, что планирует внести изменения, которые улучшат журналы аудита и ограничат обновления CAP через AADGraph.

В Secureworks также подчеркивают, что Microsoft пытается объявить API AADGraph устаревшим «в течение многих лет». На данный момент выход из эксплуатации запланирован на 30 июня 2023 года. Microsoft удалила общедоступную документацию по API AADGraph.

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме