Cyfrowa katastrofa w chmurze Microsoftu. Luka w Entra ID pozwalała na „perfekcyjną zbrodnię”
Eksperci ds. cyberbezpieczeństwa ujawnili szczegóły krytycznej luki w usłudze Microsoft Entra ID (dawniej Azure AD), która stanowi cyfrowy kręgosłup dla milionów firm na całym świecie. Tym razem jest naprawdę grubo. To nie jest kolejny wpis w bazie CVE, to coś co podważa zaufanie do przetwarzania w chmurze jako takiego. W skali globalnej, bez względu na gracza, podmiot, zasób czy informację.
Co właściwie się wydarzyło? Znaleziono lukę. Błąd, określany mianem „cyfrowej katastrofy” i „perfekcyjnej zbrodni”. Pozwalał atakującym na całkowite i niewykrywalne przejęcie kontroli nad infrastrukturą chmurową dowolnej firmy. Microsoft już załatał lukę, ale przeraża sam fakt, że była ona możliwa.
Jak donoszą specjalistyczne serwisy, w tym blog firmy Mitiga Security, która szczegółowo opisała problem, błąd tkwił w fundamentalnym mechanizmie uwierzytelniania w chmurze Microsoftu. Atakujący mógł wygenerować specjalny token we własnym, odizolowanym środowisku Microsoft, a następnie użyć go do uzyskania dostępu do zasobów dowolnej innej firmy korzystającej z Entra ID. W ten sposób mógł podszyć się pod dowolnego pracownika, włączając w to… Głównego Administratora z najwyższymi uprawnieniami (!).
To, co czyniło tę lukę tak ekstremalnie niebezpieczną, to jej całkowita niewidzialność. Atak omijał wszystkie standardowe warstwy ochrony, takie jak uwierzytelnianie wieloskładnikowe (MFA) czy polityki dostępu warunkowego. Co najgorsze, udane włamanie nie pozostawiało absolutnie żadnych śladów w logach systemowych ofiary. Oznacza to, że zaatakowana firma nie miałaby pojęcia, że ktoś przejął pełną kontrolę nad jej cyfrową tożsamością.
Administrator z takimi uprawnieniami mógłby robić dosłownie wszystko: tworzyć i usuwać użytkowników, resetować hasła, uzyskiwać dostęp do wszystkich danych w Microsoft 365 (e-maili, plików na SharePoint i OneDrive), a nawet kraść klucze odzyskiwania dysków BitLocker. To scenariusz oznaczający cyfrowy paraliż firmy. To nawet nie paraliż, to groźba cyfrowej anihilacji.
Sprawa wywołała również kontrowersje w branży cyberbezpieczeństwa. Głośnym krytykiem postawy Microsoftu był Amit Yoran, prezes firmy Tenable, która również badała problem. Zarzucał on gigantowi z Redmond zbyt wolną reakcję i brak transparentności w komunikacji z klientami na temat tak poważnych zagrożeń. Choć luka została już załatana, incydent ten na długo pozostanie przestrogą, pokazującą jak kruche potrafią być fundamenty zaufania w erze chmury.
