- O Entra ID, sistema de gerenciamento de identidades da Microsoft, apresentou vulnerabilidades críticas que permitiam acesso global a diretórios.
- As falhas foram descobertas pelo especialista em segurança cibernética Mollema, que as identificou antes da conferência Black Hat em julho.
- As vulnerabilidades poderiam conceder privilégios de administrador global, permitindo modificações em configurações e criação de novos usuários.
- Mollema notificou o Microsoft Security Response Center em 14 de julho, e a Microsoft lançou uma correção em 17 de julho, confirmando a resolução até 23 de julho.
- As falhas estavam ligadas a sistemas legados e a uma API do Azure Active Directory, mas não houve evidências de abuso durante a investigação.
O Entra ID, sistema de gerenciamento de identidades da Microsoft, enfrentou sérias vulnerabilidades recentemente. O especialista em segurança cibernética, Mollema, descobriu duas falhas críticas que poderiam permitir acesso global a qualquer diretório do Entra ID, o que poderia comprometer a segurança de praticamente todos os clientes da plataforma.
As vulnerabilidades foram identificadas enquanto Mollema se preparava para uma apresentação na conferência Black Hat em julho. Ele relatou que essas falhas poderiam conceder privilégios de administrador global, permitindo que um invasor modificasse configurações e criasse novos usuários em qualquer diretório. Mollema descreveu a situação como “bastante grave”, afirmando que a possibilidade de acesso irrestrito era alarmante.
Após a descoberta, Mollema notificou o Microsoft Security Response Center em 14 de julho. A empresa iniciou uma investigação imediata e lançou uma correção global em 17 de julho, confirmando que as falhas estavam resolvidas até 23 de julho. Em agosto, medidas adicionais de segurança foram implementadas.
Detalhes das Vulnerabilidades
As falhas estavam relacionadas a sistemas legados dentro do Entra ID. A primeira envolvia um tipo de token de autenticação chamado Actor Tokens, que poderia ser explorado em conjunto com outra vulnerabilidade em uma API do Azure Active Directory. Essa API, conhecida como Graph, falhou em validar corretamente as solicitações de acesso, permitindo que tokens de um inquilino diferente fossem aceitos.
Tom Gallagher, vice-presidente de engenharia do Microsoft Security Response Center, afirmou que a empresa não encontrou evidências de abuso das vulnerabilidades durante a investigação. Contudo, especialistas alertam que, se essas falhas tivessem sido descobertas por hackers mal-intencionados, o impacto poderia ter sido devastador, semelhante ao ataque do grupo Storm-0558 em 2023, que comprometeu sistemas de e-mail do governo dos EUA.
Mollema destacou a rapidez da resposta da Microsoft, mas enfatizou que as falhas poderiam ter permitido um acesso ainda mais amplo do que o ocorrido no incidente anterior. A empresa continua a trabalhar em sua Secure Future Initiative, que visa fortalecer a segurança de seus sistemas em nuvem e melhorar a resposta a vulnerabilidades.
Entre na conversa da comunidade