در دهه اخیر که کسبوکارها زیرساختهای دیجیتالشان را از سرورهای درونسازمانی به فضای ابری منتقل کردهاند، از قابلیتهای امنیتی استاندارد و پیشساختهٔ ارائهدهندگان بزرگ ابری مثل مایکروسافت سود بردهاند. اما وقتی حجم زیادی از کارها به این سیستمها وابسته باشد، در صورت بروز اشکال پیامدها میتواند در مقیاس وسیع فاجعهبار باشد. نمونهٔ اخیر: پژوهشگر امنیتی، Dirk-jan Mollema، بهتازگی دو آسیبپذیری را در پلتفرم مدیریت هویت و دسترسی مایکروسافت آزور کشف کرد که در صورت سوءاستفاده میتوانستند به تصاحب بالقوه و مخربِ همهٔ حسابهای مشتریان آزور بینجامند.
سیستم موسوم به Entra ID اطلاعات هویتی کاربران هر مشتری ابری آزور، کنترلهای ورود، اپلیکیشنها و ابزارهای مدیریت اشتراک را نگهداری میکند. Mollema پیشتر بهطور عمیق امنیت Entra ID را بررسی کرده و چندین مطالعه دربارهٔ ضعفهای آن منتشر کرده است؛ این سیستم پیشتر با نام Azure Active Directory شناخته میشد. اما هنگام آمادهشدن برای ارائه در کنفرانس امنیتی blackhat در لاسوگاس در ژوئیه، Mollema دو آسیبپذیری کشف کرد که متوجه شد میتوان با ترکیبِ آنها امتیازات مدیر کل (essentially «حالت خدای سیستم») را بهدست آورد و هر دایرکتوری Entra ID — آنچه «تننت» (tenant) نامیده میشود — را بهخطر انداخت. Mollema میگوید این حمله تقریباً میتوانست همهٔ تننتهای Entra ID در جهان را در معرض دسترسی قرار دهد، بهجز شاید زیرساخت ابری برخی دولتها.
«من فقط به صفحهٔ نمایش خیره شده بودم و گفتم: «نه، این نباید واقعاً اتفاق بیفتد.»» Mollema که مدیر شرکت امنیت سایبری هلندی Outsider Security است و در زمینهٔ امنیت ابری تخصص دارد، میگوید: «وضعیت واقعاً بد بود. تا جایی که میشود گفت، بدترین حالت ممکن بود.»
او اضافه میکند: «از تننتهای خودم — چه تننت آزمایشی من و چه تننت آزمایشیِ رایگان — میشد این توکنها را درخواست کرد و عملاً بهجای هر کس دیگری در هر تننت دیگری جا زد. یعنی میتوانستی پیکربندی دیگران را تغییر دهی، کاربران جدید و مدیر ایجاد کنی و هر کاری که خواستی انجام دهی.»
با توجه به شدت این آسیبپذیری، Mollema یافتههایش را بلافاصله در همان روز کشف — یعنی ۱۴ ژوئیه — به مرکز پاسخ امنیتی مایکروسافت گزارش داد. مایکروسافت همان روز تحقیق را شروع کرد و در ۱۷ ژوئیه اصلاحی را در سطح جهانی منتشر کرد. این شرکت در تاریخ ۲۳ ژوئیه به Mollema تأیید کرد که مشکل رفع شده و در آگوست نیز تدابیر تکمیلی را اعمال کرد. مایکروسافت برای این آسیبپذیری در ۴ سپتامبر یک شناسه CVE صادر کرد.
تام گالاگر، معاون مهندسی مرکز پاسخ امنیتی مایکروسافت، در بیانیهای به WIRED گفت: «ما این مشکل تازهشناساییشده را سریعاً کاهش دادیم و روند اصلاحاتی را که برای کنار گذاشتن استفاده از این پروتکل قدیمی در جریان بود، تسریع کردیم، بخشی از ابتکار «Secure Future Initiative» ما. ما تغییری در کد منطق اعتبارسنجی آسیبپذیر ایجاد، اصلاح را آزمایش و آن را در سراسر اکوسیستم ابری خود اعمال کردیم.» او همچنین گفت مایکروسافت در تحقیقش «هیچ مدرکی از سوءاستفاده» از این آسیبپذیری نیافته است.
هر دو آسیبپذیری به سیستمهای قدیمی (legacy) فعال در Entra ID مربوط بودند. اولی به نوعی از توکنهای احراز هویت آزور مربوط میشد که Mollema آنها را Actor Tokens نامید و صادرکنندهٔ آنها مکانیزمی نسبتاً ناشناخته در آزور به نام «Access Control Service» بود. Actor Tokenها خصوصیات سیستمی خاصی داشتند که Mollema فهمید در ترکیب با یک آسیبپذیری دیگر میتوانند برای مهاجم مفید باشند. باگ دوم یک نقص بزرگ در یک رابط برنامهنویسی قدیمیِ Azure Active Directory به نام Graph بود که برای تسهیل دسترسی به دادههای ذخیرهشده در Microsoft 365 استفاده میشد. مایکروسافت در حال بازنشستگیِ Azure AD Graph و انتقال کاربران به جانشین آن یعنی Microsoft Graph است که برای Entra ID طراحی شده است. این نقص ناشی از عدم اعتبارسنجی صحیحِ این بود که کدام تننت آزور در حال ارسال درخواست دسترسی است؛ بهطوری که میشد این را دستکاری کرد تا API یک Actor Token صادرشده از تننتی دیگر را بپذیرد درحالیکه باید رد میشد.
مایکل بارگوری، مدیر فنی شرکت امنیتی Zenity، میگوید: «مایکروسافت حول هویت کنترلهای امنیتی مانند شرطیسازی دسترسی و لاگها ساخته، اما این مکانیزم توکنِ درونی همهٔ آنها را دور میزند. این تأثیرگذارترین آسیبپذیری است که میتوانی در یک ارائهدهندهٔ هویت پیدا کنی؛ عملاً امکان تسلط کامل بر هر تننت هر مشتری را فراهم میکند.»
اگر این آسیبپذیری را هکرهای مخرب کشف یا به دست میآوردند، پیامدها میتوانست فاجعهبار باشد.
بارگوری میگوید: «لازم نیست حدس بزنیم تأثیر چه میتوانست باشد؛ دو سال پیش دیدیم وقتی گروه Storm-0558 یک کلید امضای رمزنگاری را بهدست آورد چه شد؛ آنها میتوانستند بهعنوان هر کاربر در هر تننتی وارد شوند.»
اگرچه جزئیات فنی متفاوت است، مایکروسافت در ژوئیهٔ ۲۰۲۳ افشا کرد که گروه جاسوسی سایبری چینی Storm-0558 کلید رمزنگاریای را دزدیده بود که به آنها اجازه میداد توکنهای احراز هویت تولید کنند و به سامانههای ایمیل ابری Outlook، از جمله حسابهای برخی وزارتخانههای دولت آمریکا، دسترسی پیدا کنند.
تحلیل حادثهٔ مایکروسافت از حملهٔ Storm-0558 که در چند ماه انجام شد، چندین خطا را نشان داد که در نفوذ گروه چینی نقش داشت. آن رخداد امنیتی یکی از مجموعهای از مشکلات مایکروسافت در آن زمان بود که شرکت را به راهاندازی «Secure Future Initiative» واداشت؛ ابتکاری که حفاظتهای بیشتری برای سیستمهای امنیت ابری درنظر گرفت و اهداف پاسخ سریعتر به افشای آسیبپذیریها و انتشار وصلهها را سختگیرانهتر کرد.
Mollema میگوید مایکروسافت در برخورد با یافتههای او بسیار پاسخگو بود و ظاهراً فوریت ماجرا را درک کرد. اما تأکید میکند که یافتههای او میتوانست به هکرهای مخرب امکان دهد حتی فراتر از آنچه در حادثهٔ ۲۰۲۳ رخ داد پیش بروند.
Mollema میگوید: «با این آسیبپذیری میتوانستی خودت را بهعنوان مدیر با بالاترین سطح مجوز در آن تننت اضافه کنی، و در نتیجه دسترسی کامل بهدست آوری.» هر خدمتی از مایکروسافت «که با Entra ID وارد میشوی — چه آزور، چه شیرپوینت، چه اکسچنج — میتوانست در معرض خطر قرار گیرد.»
