Şirketin bulut tabanlı kimlik ve erişim yönetimi hizmeti (IAM) olan Microsoft’un Azure Active Directory’si (Azure AD), tehdit aktörlerinin arka kapılar kurmasına olanak tanıyan ciddi bir kusur taşıyor.
Bu, Secureworks Karşı Tehdit Birimi’nin (CTU) kapsamlı araştırmasına göre, sorunun bilgisayar korsanlarının çok faktörlü kimlik doğrulamayı atlamak ve uygun günlük kaydı olmadan yönetici erişimini engellemek için erişim haklarını değiştirmesine ve gelecekte etkinleştirmek için ilke yapılandırmaları hakkında bilgi toplamasına da izin verebileceğini söylüyor. saldırılar.
Azure AD birden çok kimlik doğrulama yöntemini desteklerken premium sürüm, cihaz uyumluluğu veya kullanıcı konumu gibi farklı ölçütlere göre erişim sağlayan veya erişimi engelleyen Koşullu Erişim İlkelerini (CAP’ler) de destekler. IAM hizmeti, bu ayarları depolayan ve CAP’lerin portal, PowerShell veya API çağrıları aracılığıyla değiştirilmesine izin veren hizmettir.
Bir API
Araştırmacılar, hangi API’lerin CAP ayarlarını düzenlemeye izin verdiğini görmek için yola çıktılar ve üç tane buldular.
AADGraph adı verilen üç sistemden biri, kullanıcıların meta veriler de dahil olmak üzere tüm CAP ayarlarını değiştirmesine izin veren tek kişiydi. Araştırmacılar, bunun, yöneticilerin oluşturma ve değiştirme zaman damgaları gibi şeyleri kurcalamasına izin verdiğini ve AADGraph kullanılarak yapılan değişikliklerin düzgün bir şekilde günlüğe kaydedilmediği göz önüne alındığında, Azure AD ilkelerinin bütünlüğü ve reddedilmemesi bu nedenle risk altındaydı.
Araştırmacılar bulgularını 2022 Mayıs ayı sonlarında Microsoft ile paylaşmışlar ve bir ay sonra bulguları doğrulamış ancak bunun bir bug değil, bir özellik olduğunu belirtmişlerdir. Ancak bir yıl sonra Microsoft, CTU araştırmacılarına denetim günlüklerini iyileştirecek ve AADGraph aracılığıyla CAP güncellemelerini kısıtlayacak değişiklikler yapmayı planladığını bildirdi.
Secureworks ayrıca Microsoft’un AADGraph API’yi “yıllardır” kullanımdan kaldırmaya çalıştığını da vurguluyor. Şu anda kullanımdan kaldırma 30 Haziran 2023 olarak planlanıyor. Microsoft, genel AADGraph API belgelerini kaldırdı.
