Scoperta dal ricercatore di sicurezza Dirk-Jan Mollema, questa vulnerabilità critica in Microsoft Entra ID (precedentemente Azure Active Directory) consentiva agli aggressori di impersonare qualsiasi utente, inclusi gli amministratori globali, tra diversi tenant. Il difetto derivava da due problematiche interagenti:

1. Actor Tokens: Token non documentati utilizzati dai servizi interni Microsoft.
2. Errore nell’API Azure AD Graph: La vecchia API Azure AD Graph non convalidava il tenant di origine delle richieste, consentendo che gli Actor Token di un tenant venissero accettati da un altro.

Questa combinazione permetteva agli aggressori di autenticarsi come utenti arbitrari nei tenant di destinazione.

Riassunto tecnico

La vulnerabilità consentiva agli aggressori di:

• Impersonare qualsiasi utente: Inclusi gli amministratori globali, in qualunque tenant Entra ID.
• Eludere i controlli di sicurezza: Come le policy di accesso condizionale e l’autenticazione a più fattori (MFA).
• Accedere a dati sensibili: Compresi dati utente, dettagli su gruppi e ruoli, impostazioni del tenant, autorizzazioni delle applicazioni e informazioni sui dispositivi.
• Modificare le configurazioni del tenant: Creare nuovi account, concedere ulteriori autorizzazioni o esfiltrare dati sensibili.

Questo difetto avrebbe potuto portare al compromesso completo del tenant, con ripercussioni sui servizi come Microsoft 365 e Azure.

Raccomandazioni

• Nel lungo termine, l’incidente rafforza due insegnamenti operativi per l’identità nel cloud: ridurre la superficie di attacco ritirando le API legacy e pretendere dai provider di identità una convalida robusta dei token, consapevole del tenant, accompagnata da telemetria.
• Per i difensori, le azioni immediate sono semplici: verificare lo stato della patch di Microsoft nel proprio tenant, effettuare l’inventario ed effettuare la migrazione dall’API Azure AD Graph, e rivedere ruoli privilegiati e service principal per rilevare modifiche inattese.