À medida que as empresas em todo o mundo mudaram sua infraestrutura digital na última década de servidores auto-hospedados para a nuvem, elas se beneficiaram dos recursos de segurança padronizados e integrados de grandes provedores de nuvem como a Microsoft. Mas com tanto em jogo nesses sistemas, podem haver consequências potencialmente desastrosas em grande escala se algo der errado. Um caso em questão: O pesquisador de segurança Dirk-jan Mollema recentemente encontrou um par de vulnerabilidades na plataforma de gerenciamento de identidade e acesso da Microsoft Azure que poderiam ter sido exploradas para uma possível tomada de controle cataclísmica de todas as contas de clientes do Azure.
Conhecido como Entra ID, o sistema armazena as identidades de usuários de cada cliente da nuvem Azure, controles de acesso de login, aplicativos e ferramentas de gerenciamento de assinaturas. Mollema estudou a segurança do Entra ID em profundidade e publicou vários estudos sobre as fraquezas do sistema, que anteriormente era conhecido como Azure Active Directory. Mas enquanto se preparava para apresentar na conferência de segurança Black Hat em Las Vegas em julho, Mollema descobriu duas vulnerabilidades que percebeu que poderiam ser usadas para obter privilégios de administrador global—basicamente modo deus—e comprometer cada diretório do Entra ID, ou o que é conhecido como um “inquilino”. Mollema afirma que isso teria exposto quase todos os inquilinos do Entra ID no mundo, exceto, talvez, a infraestrutura de nuvem do governo.
“Eu estava apenas olhando para a minha tela. Eu pensei: ‘Não, isso realmente não deveria acontecer’”, diz Mollema, que dirige a empresa de cibersegurança holandesa Outsider Security e se especializa em segurança na nuvem. “Era bastante grave. Tão grave quanto pode ser, eu diria.”
“Dos meus próprios inquilinos—meu inquilino de teste ou até mesmo um inquilino de teste—você poderia solicitar esses tokens e poderia se passar basicamente por qualquer outra pessoa no inquilino de qualquer outra pessoa”, acrescenta Mollema. “Isso significa que você poderia modificar a configuração de outras pessoas, criar novos usuários e administradores nesse inquilino e fazer o que quisesse.”
Dada a gravidade da vulnerabilidade, Mollema divulgou suas descobertas ao Microsoft Security Response Center em 14 de julho, no mesmo dia em que descobriu as falhas. A Microsoft começou a investigar as descobertas naquele dia e emitiu uma correção global em 17 de julho. A empresa confirmou a Mollema que o problema foi corrigido até 23 de julho e implementou medidas adicionais em agosto. A Microsoft emitiu um CVE para a vulnerabilidade em 4 de setembro.
“Mitigamos rapidamente o problema recém-identificado e aceleramos o trabalho de remediação em andamento para descontinuar o uso desse protocolo legado, como parte de nossa Iniciativa de Futuro Seguro”, disse Tom Gallagher, vice-presidente de engenharia do Microsoft Security Response Center, em um comunicado ao WIRED. “Implementamos uma alteração de código dentro da lógica de validação vulnerável, testamos a correção e a aplicamos em todo o nosso ecossistema de nuvem.”
Gallagher afirma que a Microsoft não encontrou “nenhuma evidência de abuso” da vulnerabilidade durante sua investigação.
Ambas as vulnerabilidades estão relacionadas a sistemas legados que ainda funcionam dentro do Entra ID. A primeira envolve um tipo de token de autenticação do Azure que Mollema descobriu, conhecido como Tokens de Ator, que são emitidos por um mecanismo obscuro do Azure chamado “Serviço de Controle de Acesso”. Os Tokens de Ator têm algumas propriedades especiais do sistema que Mollema percebeu que poderiam ser úteis para um atacante quando combinadas com outra vulnerabilidade. O outro bug era uma falha maior em uma interface de programação de aplicativos do Azure Active Directory conhecida como “Graph” que era usada para facilitar o acesso a dados armazenados no Microsoft 365. A Microsoft está no processo de aposentadoria do Azure Active Directory Graph e de transição dos usuários para seu sucessor, o Microsoft Graph, que é projetado para o Entra ID. A falha estava relacionada a uma falha do Azure AD Graph em validar corretamente qual inquilino do Azure estava fazendo um pedido de acesso, que poderia ser manipulado para que a API aceitasse um Token de Ator de um inquilino diferente que deveria ter sido rejeitado.
“A Microsoft construiu controles de segurança em torno da identidade, como acesso condicional e logs, mas esse mecanismo interno de impressão de token contorna todos eles”, diz Michael Bargury, o CTO da empresa de segurança Zenity. “Esta é a vulnerabilidade mais impactante que você pode encontrar em um provedor de identidade, permitindo efetivamente a plena compromissão de qualquer inquilino de qualquer cliente.”
Se a vulnerabilidade tivesse sido descoberta por, ou caído nas mãos de, hackers maliciosos, as consequências poderiam ter sido devastadoras.
“Não precisamos adivinhar qual poderia ter sido o impacto; vimos há dois anos o que aconteceu quando o Storm-0558 comprometeu uma chave de assinatura que lhes permitiu entrar como qualquer usuário em qualquer inquilino”, diz Bargury.
Embora os detalhes técnicos específicos sejam diferentes, a Microsoft revelou em julho de 2023 que o grupo de espionagem cibernética chinês conhecido como Storm-0558 havia roubado uma chave criptográfica que lhes permitiu gerar tokens de autenticação e acessar sistemas de e-mail baseados na nuvem do Outlook, incluindo aqueles pertencentes a departamentos do governo dos EUA.
Realizada ao longo de vários meses, uma análise pós-morte da Microsoft sobre o ataque Storm-0558 revelou vários erros que levaram ao grupo chinês a passar pelas defesas da nuvem. O incidente de segurança foi um de uma série de problemas da Microsoft naquela época. Esses motivaram a empresa a lançar sua “Iniciativa de Futuro Seguro”, que expandiu as proteções para sistemas de segurança na nuvem e estabeleceu metas mais agressivas para responder a divulgações de vulnerabilidades e emitir patches.
Mollema afirma que a Microsoft foi extremamente responsiva em relação às suas descobertas e pareceu entender sua urgência. Mas ele enfatiza que suas descobertas poderiam ter permitido que hackers maliciosos fossem ainda mais longe do que eles foram no incidente de 2023.
“Com a vulnerabilidade, você poderia simplesmente se adicionar como o administrador de maior privilégio no inquilino, então você teria acesso total”, diz Mollema. Qualquer serviço da Microsoft “que você use o EntraID para fazer login, seja Azure, seja SharePoint, seja Exchange—isso poderia ter sido comprometido com isso.