Microsoft verhelpt kritieke kwetsbaarheid in Entra ID

Microsoft heeft het probleem binnen enkele dagen na melding verholpen. Volgens Mollema’s analyse zou een succesvolle aanval geen sporen achterlaten in logs. Dit komt doordat er geen registratie plaatsvond voor het aanvragen van Actor tokens—de tokens die misbruikt konden worden voor impersonatie. Zelfs als logging wel beschikbaar was geweest, zou dit alleen zichtbaar zijn in de tenant van de aanvaller, niet bij het slachtoffer.

Bovendien ontbreekt API-level logging voor de Azure AD Graph API, in tegenstelling tot de opvolger, Microsoft Graph, waar deze functionaliteit wel aanwezig is. Voor Azure AD Graph is logging nog slechts beschikbaar in een beperkte preview-fase.

Zonder detectie gevoelige gegevens benaderen

De kwetsbaarheid stelde aanvallers in staat om zonder detectie gevoelige gegevens te benaderen, waaronder gebruikersinformatie, groepsgegevens, tenant-instellingen, toepassingen en BitLocker-sleutels. Microsoft heeft gebruikers aangeraden om de overstap naar Microsoft Graph te versnellen en de verouderde Azure AD Graph API uit te faseren.

"Deze kwetsbaarheid had mij in staat kunnen stellen om elke Entra ID-tenant ter wereld te compromitteren (waarschijnlijk met uitzondering van die in nationale cloud-implementaties¹). Als je dit leest en Entra ID-beheerder bent: ja, dat betekent volledige toegang tot jouw tenant. De kwetsbaarheid bestond uit twee onderdelen: ongedocumenteerde impersonatietokens, ‘Actor tokens’ genoemd, die Microsoft intern gebruikt voor service-to-service (S2S)-communicatie. Daarnaast zat er een kritieke fout in de (verouderde) Azure AD Graph API, die de bron-tenant niet correct valideerde. Hierdoor konden deze tokens worden misbruikt voor cross-tenant-toegang", schrijft Mollema.

De kwetsbaarheid is inmiddels door Microsoft verholpen. Meer informatie is hier te vinden.