Etrafta işletmeler gibi Dünya, son on yılda dijital altyapılarını kendi kendine barındırılan sunuculardan buluta kaydırdı, Microsoft gibi büyük bulut sağlayıcılarının standart, yerleşik güvenlik özelliklerinden faydalandılar. Ancak bu sistemlere çok fazla sürme ile, bir şeyler ters giderse büyük ölçekte potansiyel olarak felaket sonuçları olabilir. Durumda: Güvenlik araştırmacısı Dirk-Jan Molema kısa süre önce Microsoft Azure’un tüm Azure müşteri hesaplarının potansiyel olarak felaketli bir şekilde ele geçirilmesi için kullanılabilecek bir çift güvenlik açıkına rastladı.
Entra Kimliği olarak bilinen sistem, her Azure Cloud müşterinin kullanıcı kimliklerini, oturum açma erişim denetimlerini, uygulamaları ve abonelik yönetim araçlarını saklar. Molema, Entra ID güvenliğini derinlemesine inceledi ve daha önce Azure Active Directory olarak bilinen sistemdeki zayıflıklar hakkında çok sayıda çalışma yayınladı. Ancak Molema, Temmuz ayında Las Vegas’taki Black Hat Güvenlik Konferansı’nda sunulmaya hazırlanırken, küresel yönetici ayrıcalıkları – esas olarak Tanrı modu – kazanmak için kullanılabileceğini fark ettiği iki güvenlik açığı keşfetti ve her entra kimlik dizinini veya “kiracı” olarak bilinen şeyden ödün verdi. Molema, bunun belki de hükümet bulut altyapısı dışında dünyadaki neredeyse her Entra kimlik kiracısını ortaya çıkaracağını söylüyor.
Hollanda siber güvenlik şirketi Outsider Security’yi yöneten ve bulut güvenliği konusunda uzmanlaşan Molya, “Sadece ekranıma bakıyordum. ‘Hayır, bu gerçekten olmamalı” gibiydim. “Oldukça kötüydü. Aldığım kadar kötü, diyebilirim.”
Mollema, “Kendi kiracılarımdan – test kiracım ve hatta bir yargılama kiracısımdan – bu jetonları talep edebilirsiniz ve temelde başkalarının kiracısında başkalarını taklit edebilirsiniz” diye ekliyor. “Bu, başkalarının yapılandırmasını değiştirebileceğiniz, bu kiracıya yeni ve yönetici kullanıcıları oluşturabileceğiniz ve istediğiniz her şeyi yapabileceğiniz anlamına geliyor.”
Güvenlik açığının ciddiyeti göz önüne alındığında, Molema bulgularını 14 Temmuz’da Microsoft Güvenlik Müdahale Merkezi’ne açıkladı, aynı gün kusurları keşfetti. Microsoft o gün bulguları araştırmaya başladı ve 17 Temmuz’da küresel olarak bir düzeltme yayınladı. Şirket, Molema’ya sorunun 23 Temmuz’a kadar düzeltildiğini ve Ağustos ayında ekstra önlemler uyguladığını doğruladı. Microsoft, 4 Eylül’de güvenlik açığı için bir CVE yayınladı.
Microsoft’un Güvenlik Müdahale Merkezi Başkan Yardımcısı Tom Gallagher, “Yeni tanımlanan konuyu hızlı bir şekilde hafiflettik ve güvenli gelecek girişimimizin bir parçası olarak bu eski protokol kullanımının işten çıkarılması için devam eden iyileştirme çalışmasını hızlandırdık” dedi. “Savunmasız doğrulama mantığı içinde bir kod değişikliği uyguladık, düzeltmeyi test ettik ve bulut ekosistemimize uyguladık.”
Gallagher, Microsoft’un soruşturması sırasında kırılganlığın “kötüye kullanıldığına dair hiçbir kanıt” bulduğunu söyledi.
Her iki güvenlik açıkları da hala Entra kimliği içinde çalışan eski sistemlerle ilgilidir. Birincisi, “Erişim Kontrol Hizmeti” adı verilen belirsiz bir Azure mekanizması tarafından verilen aktör jetonları olarak bilinen bir tür Azure Kimlik Doğrulama Token Molema’yı içerir. Aktör jetonları, Molema’nın başka bir güvenlik açığı ile birleştirildiğinde bir saldırgan için yararlı olabileceğini fark ettiği bazı özel sistem özelliklerine sahiptir. Diğer hata, Microsoft 365’te depolanan verilere erişimi kolaylaştırmak için kullanılan “grafik” olarak bilinen tarihi bir Azure Active Directory Uygulama programlama arayüzünde, Azure Active Directory grafiğini emekliye ayırma ve kullanıcıları Entra Kimliği için tasarlanmış halefi Microsoft Graph’a geçirme sürecindedir. Kusur, Azure Kiracının hangi Azure Kiracının erişim talebi yaptığını doğru bir şekilde doğrulamak için API, reddedilmesi gereken farklı bir kiracıdan bir aktör jetonunu kabul edebilmesi için uygun şekilde doğrulamak için bir arıza ile ilgiliydi.