كشركات حولها قام العالم بتحويل بنيته التحتية الرقمية على مدار العقد الماضي من الخوادم المستضافة ذاتيا إلى السحابة ، فقد استفادوا من الميزات الأمنية الموحدة والمدمجة لمقدمي الخدمات السحابية الرئيسية مثل Microsoft. ولكن مع وجود الكثير من الركوب على هذه الأنظمة ، يمكن أن يكون هناك عواقب وخيمة محتملة على نطاق واسع إذا حدث خطأ ما. مثال على ذلك: تعثر باحث الأمن Dirk-Jan Mollema مؤخرًا على زوج من نقاط الضعف في منصة Microsoft Azure وإدارة الوصول التي كان من الممكن استغلالها لإجراء استحواذ محتمل لجميع حسابات عملاء Azure.
يُعرف النظام باسم ENTRA ID ، ويخزن كل من هويات مستخدم عميل Azure Cloud ، وعناصر التحكم في الوصول إلى تسجيل الدخول ، والتطبيقات ، وأدوات إدارة الاشتراك. درس Mollema أمن Id Entra في العمق ونشرت دراسات متعددة حول نقاط الضعف في النظام ، والتي كانت تعرف سابقًا باسم Azure Active Directory. ولكن أثناء الاستعداد للتقديم في مؤتمر Black Hat Security في لاس فيجاس في يوليو ، اكتشف موليما أن اثنين من نقاط الضعف التي أدركها يمكن استخدامها لاكتساب امتيازات المسؤول العالمي – وضع الله بشكل أساسي – وتهدد كل دليل معرف Entra ، أو ما يعرف باسم “المستأجر”. يقول موليما إن هذا كان سيحقق تقريبًا كل مستأجر معرف إنتررا في العالم بخلاف ، ربما ، البنية التحتية السحابية الحكومية.
يقول موليما ، الذي يدير شركة الأمن السيبراني الأمنية الأمنية الهولندية “كنت لا ينبغي أن يحدث هذا حقًا” لم أكن أحدق في شاشتي. كنت مثل ، “لا ، هذا لا ينبغي أن يحدث بالفعل”. “كان الأمر سيئًا للغاية. على الرغم من أنه سيئًا ، أود أن أقول.”
ويضيف موليما: “من مستأجريي – مستأجر الاختبار الخاص بي أو حتى مستأجر تجريبي – يمكنك أن تطلب هذه الرموز ويمكنك انتحال شخصية أي شخص آخر في مستأجر أي شخص آخر”. “هذا يعني أنه يمكنك تعديل تكوين الآخرين ، وإنشاء مستخدمين جدد ومسؤولين في هذا المستأجر ، وفعل أي شيء تريده.”
بالنظر إلى خطورة الضعف ، كشف موليما عن النتائج التي توصل إليها في مركز استجابة أمن Microsoft في 14 يوليو ، في نفس اليوم الذي اكتشف فيه العيوب. بدأت Microsoft في التحقيق في النتائج في ذلك اليوم وأصدرت إصلاحًا على مستوى العالم في 17 يوليو. أكدت الشركة Mollema أن المشكلة تم إصلاحها بحلول 23 يوليو وقام بتنفيذ تدابير إضافية في أغسطس. أصدرت Microsoft CVE للضعف في 4 سبتمبر.
وقال توم غالاغر ، نائب رئيس مركز الاستجابة الأمنية لشركة Microsoft ، لـ Wired في بيان: “لقد تخفيفنا من القضية التي تم تحديدها حديثًا بسرعة ، وقمنا بتسريع أعمال العلاج الجارية لوقف استخدام هذا البروتوكول القديم ، كجزء من مبادرتنا المستقبلية الآمنة”. “قمنا بتطبيق تغيير رمز ضمن منطق التحقق من الصحة الضعيف ، واختبرنا الإصلاح ، وقمنا بتطبيقه عبر نظامنا البيئي السحابي.”
يقول غالاغر إن Microsoft لم تجد “أي دليل على سوء المعاملة” للضعف أثناء التحقيق.
يرتبط كل من نقاط الضعف بالأنظمة القديمة التي لا تزال تعمل ضمن معرف Entra. الأول يتضمن نوعًا من رمز مصادقة Azure Mollema المكتشف باسم الرموز المميزة للممثلات التي تصدرها آلية Azure الغامضة تسمى “خدمة التحكم في الوصول”. تحتوي الرموز المميزة للممثلين على بعض خصائص النظام الخاصة التي أدركت موليما يمكن أن تكون مفيدة للمهاجم عند دمجها مع ضعف آخر. كان الخطأ الآخر عيبًا رئيسيًا في واجهة برمجة تطبيق Azure Active Directory تاريخية تُعرف باسم “الرسم البياني” الذي تم استخدامه لتسهيل الوصول إلى البيانات المخزنة في Microsoft 365. Microsoft بصدد التقاعد Azure Active Directory Graph و Transitions Users إلى خلفها ، Microsoft Graph ، وهو مصمم معرف entra. كان الخلل مرتبطًا بفشل الرسم البياني Azure AD للتحقق بشكل صحيح من مستأجر Azure الذي كان يقدم طلبًا وصولًا ، والذي يمكن معالجته حتى يقبل API رمزًا ممثلًا من مستأجر مختلف كان ينبغي رفضه.
