Tin tức bảo mật về Microsoft Entra ID cho thấy chuỗi tấn công có thể vượt qua Conditional Access khi kẻ tấn công khai thác sai lệch trong xác thực thiết bị và đăng ký thiết bị. Cơ chế này vốn đóng vai trò như cổng kiểm soát chính, xác minh vị trí, điểm rủi ro và trạng thái thiết bị trước khi cấp quyền truy cập.
Lỗ hổng CVE và đường tấn công qua Device Registration Service
Trong nghiên cứu được mô tả, một tài khoản hợp lệ nhưng đã bị chặn bởi chính sách Conditional Access vẫn có thể được dùng để đi tiếp qua endpoint Device Registration Service (DRS). Điểm đáng chú ý là đường đi này không cần tương tác với máy trạm корпоративate và không triển khai mã độc, nhưng vẫn tạo ra rủi ro bảo mật nghiêm trọng cho tenant.
Chuỗi khai thác bắt đầu từ một lỗi xác thực có mã AADSTS53003. Thay vì dừng lại, nghiên cứu nhắm vào luồng device code authentication qua DRS, nơi chính sách bảo mật chưa được thực thi đầy đủ. Cách tiếp cận này cho phép đăng ký một thiết bị giả mạo bằng chứng chỉ Azure AD đã ký và private key đi kèm.
Cách bypass Conditional Access bằng thiết bị giả mạo
DRS API không xác minh liệu bên gọi có phải là một máy Windows vật lý hay không. Vì vậy, một máy Linux vẫn có thể giả dạng endpoint hợp lệ nếu có thông tin xác thực phù hợp. Sau khi thiết bị giả được đăng ký, kẻ tấn công có thể mint Primary Refresh Token (PRT) chứa các device claims sai lệch.
Khi PRT này được đổi sang access token, Azure AD xem phiên làm việc là device-authenticated. Điều đó làm vô hiệu điều kiện yêu cầu thiết bị phải compliant hoặc joined, từ đó mở đường cho việc liệt kê tài nguyên trong tenant.
# Luồng kỹ thuật tóm tắt
# 1. Dùng credentials hợp lệ nhưng bị chặn bởi CA
# 2. Chuyển sang DRS device code flow
# 3. Đăng ký phantom device với certificate đã ký
# 4. Mint PRT chứa device claims
# 5. Đổi PRT sang access token để vượt CAĐây là một ví dụ điển hình của lỗ hổng zero-day trong logic tin cậy thiết bị, dù không được công bố dưới dạng CVE cụ thể trong nội dung gốc. Nguồn tham chiếu liên quan có thể xem thêm tại NVD để đối chiếu các mục lỗ hổng tương tự.
Cảnh báo CVE liên quan đến cấu hình thiết bị và Intune
Trong nhánh khai thác thứ hai, kẻ tấn công nhắm vào khoảng trống trong Intune enrollment restrictions. Bằng cách khai báo trạng thái hybrid domain-join, thiết bị giả mạo có thể vượt qua bước tiền đăng ký. Intune tin vào thông tin tự khai báo của client thay vì đối chiếu chặt với on-premises Active Directory.
Thiết bị sau đó được đánh dấu là compliant dù thiếu các điều kiện như BitLocker, Secure Boot hoặc phần mềm antivirus. Một điểm yếu khác nằm ở logic đánh giá: phản hồi health attestation bị xem là not applicable thay vì non-compliant. Cách xử lý mặc định này làm giảm hiệu quả kiểm soát của bản vá bảo mật và chính sách thiết bị.
Ảnh hưởng hệ thống và khả năng trinh sát nội bộ
Sau khi vượt qua các lớp kiểm soát, nghiên cứu cho thấy có thể tải xuống ứng dụng nội bộ của doanh nghiệp. Việc giải nén một package duy nhất đã tiết lộ quy ước đặt tên server nội bộ và cấu trúc mạng. Đây là bước mở rộng đáng kể cho tấn công mạng vì cung cấp thông tin phục vụ lateral movement và lập kế hoạch xâm nhập.
Điểm đáng lưu ý là cuộc tấn công này không phụ thuộc vào mã độc, không cần khai thác endpoint trực tiếp, và vẫn đạt được quyền truy cập vào môi trường tenant. Mô hình này làm nổi bật nguy cơ bảo mật trong các hệ thống dùng hybrid identity nhưng kiểm soát tin cậy thiết bị không chặt.
Rủi ro bảo mật trong hybrid identity
Rủi ro không chỉ nằm ở thiết bị giả mạo. Một phát hiện độc lập khác cho thấy có 255 directory roles có đặc quyền cao được đồng bộ trực tiếp từ on-premises Active Directory, trong đó có nhiều tài khoản Global Administrator. Nếu các tài khoản on-premises này bị lộ hoặc chiếm quyền, kẻ tấn công có thể đi thẳng tới việc kiểm soát tenant cloud mà không cần exploit riêng cho môi trường đám mây.
Điều này cho thấy an toàn thông tin trong mô hình hybrid phụ thuộc rất lớn vào độ an toàn của định danh on-premises, cơ chế đồng bộ, và cách Entra ID đánh giá thiết bị. Khi một lớp bị suy yếu, toàn bộ chuỗi xác thực có thể bị ảnh hưởng.
Mitigation cần áp dụng
- Siết chặt chính sách Conditional Access cho các luồng đăng ký thiết bị và device code flow.
- Rà soát cấu hình Device Registration Service (DRS) và giới hạn endpoint không cần thiết.
- Không tin cậy trạng thái hybrid domain-join nếu chưa có đối chiếu với Active Directory nội bộ.
- Thiết lập yêu cầu bắt buộc cho BitLocker, Secure Boot và health attestation thực.
- Kiểm tra lại logic “not applicable” trong Intune để tránh bỏ sót thiết bị không đạt chuẩn.
- Giám sát các tài khoản có đặc quyền cao được đồng bộ từ on-premises sang cloud.
IOC và dấu hiệu cần theo dõi
Nội dung gốc không cung cấp IOC theo dạng hash, domain, IP hoặc file hash. Tuy nhiên, các chỉ dấu kỹ thuật sau cần được xem là dấu hiệu đáng quan tâm trong phát hiện xâm nhập:
- AADSTS53003 xuất hiện trong quá trình xác thực bị chặn bởi Conditional Access.
- Hoạt động bất thường với DRS endpoint và luồng device code authentication.
- Thiết bị mới được đăng ký nhưng không có dấu hiệu từ máy Windows vật lý.
- PRT hoặc access token chứa device claims không khớp với trạng thái thiết bị thực.
- Thiết bị được đánh dấu compliant dù thiếu BitLocker, Secure Boot hoặc antivirus.
- Truy cập vào các ứng dụng nội bộ sau khi hoàn tất đăng ký thiết bị giả mạo.
Liên hệ với kỹ thuật MITRE ATT&CK
Chuỗi hành vi này được ánh xạ với kỹ thuật Account Manipulation (T1098.005) khi thiết bị giả được tạo để thao túng trạng thái danh tính và quyền truy cập. Trong bối cảnh lỗ hổng CVE hoặc cảnh báo CVE liên quan đến danh tính đám mây, nhóm kỹ thuật này thường khó phát hiện vì không để lại dấu hiệu khai thác kiểu truyền thống.
Với môi trường Entra ID, trọng tâm phòng thủ cần đặt vào kiểm soát thiết bị, kiểm tra trạng thái compliance, và rà soát lại các giả định mặc định của hệ thống xác thực. Một tenant có chính sách truy cập chặt nhưng tin cậy thiết bị sai cách vẫn có thể bị vượt qua bằng chuỗi tấn công hợp lệ về mặt giao thức nhưng sai lệch về mặt tin cậy.
