Критические уязвимости в Entra ID

В Microsoft Entra ID были уязвимости, позволявшие получить доступ к любому завязанному на неё инстансу. А разгадка проста: легаси-системы, про которые все забыли, а их разраб всё в этой жизни понял и давно пропал с радаров.

Цепочка из двух уязвимостей сводилась к токенам в бэкенде и критическому багу в легаси Azure AD Graph API — отсутствии валидации этих самых токенов. В результате они давали доступ к любому инстансу с правами глобального админа. В 2023-м китайская апэтэшечка стянула ключ для подписи, позволявший генерировать токены — здесь суть примерно та же с компрометацией всего и вся. Но уязвимость нашёл исследователь, её закрыли за пару дней в июле, happy end. Забивать на легаси-системы — это, конечно, добрая традиция, которую ни один уважающий себя разраб не нарушит, пытаясь понять сумрачный гений предшественников. Но когда это системы управления учётками, последствия могут быть интересными. Подробнее об уязвимостях здесь.

Ранее также появилась информация о серьёзных уязвимостях в многочисленных популярных менеджерах паролей.