Ważna luka bezpieczeństwa w EntraID. Na szczęście Microsoft już ją załatał

Описание: Okej, mamy ważny temat, ale bez paniki 😊

Microsoft załatał lukę w Entra ID (dawne Azure AD), która w teorii mogła pozwolić komuś „wejść” do dowolnego tenanta. Brzmi groźnie, więc wyjaśniamy krótko, co to znaczy dla firm i co warto zrobić.

Co się stało?
Holenderski badacz Dirk-Jan Mollema odkrył błąd, który łączył dwie rzeczy: wewnętrzne „actor tokens” używane przez Microsoft do komunikacji między usługami oraz stary interfejs Azure AD Graph z błędną weryfikacją. W efekcie taki token mógł ominąć zasady typu Conditional Access, nie zostawiał logów po stronie ofiary i pozwalał zachowywać się jak globalny administrator w innym tenancie. Microsoft naprawił problem w lipcu, dołożył kolejne zabezpieczenia w sierpniu i nie ma dowodów, że luka była wykorzystywana.

Jak „duża” była ta luka?
To była podatność krytyczna. Microsoft ocenił ją na 10.0 w CVSS v3.1, a NVD na 9.8. Ważniejsze od cyferek: dotyczyła tożsamości, więc potencjalny wpływ był bardzo szeroki.

Dlaczego to w ogóle było możliwe?
Problem wyrósł z historycznych rozwiązań S2S (service-to-service). Sam Microsoft przyznaje, że od miesięcy porządkuje wysokoprzywilejowane ścieżki i usuwa archaiczne protokoły w ramach Secure Future Initiative – „zgaszono” już ponad tysiąc takich scenariuszy. Ta luka pokazała, że to słuszny kierunek.

Co z tego wynika dla małych i średnich firm?
Warto sprawdzić „higienę tożsamości”, nawet jeśli problem jest już załatany. Krótka lista priorytetów na dziś:
1️⃣ Przegląd aplikacji i uprawnień: usuń nieużywane, ogranicz „admin consent”, włącz cykliczny przegląd.
2️⃣ Role „just-in-time”: aktywuj PIM do ról administracyjnych i wymagaj zatwierdzania.
3️⃣ Legacy out: wyłącz przestarzałe tokeny/połączenia w usługach Exchange/Outlook i trzymaj się Microsoft Graph.
4️⃣ Logi i alerty: upewnij się, że masz pełne logowanie tożsamości, dłuższą retencję i alerty na nietypowe użycie ról.
5️⃣ Detekcja śladów: uruchom reguły z publikacji badacza/MS pod kątem potencjalnych artefaktów (na wszelki wypadek).

Dobra wiadomość na koniec
Microsoft naprawił błąd kilka dni po zgłoszeniu i nie znalazł dowodów nadużyć. Warto jednak potraktować to jako okazję do szybkiego „przeglądu zdrowia” w Microsoft 365. Jeśli chcesz, zrobimy to razem – spokojnie i bez żargonu. 🔒

Kiedy ostatnio przeglądaliście w firmie listę aplikacji z uprawnieniami „admin consent” i czy macie dla niej prostą procedurę akceptacji?

#EntraID #bezpieczenstwo