Các nhà nghiên cứu bảo mật đã phát hiện một lỗ hổng nghiêm trọng trong Microsoft Entra ID, cho phép kẻ tấn công leo thang đặc quyền và giành quyền truy cập Global Administrator. Sự cố này tiềm ẩn nguy cơ xâm phạm toàn bộ môi trường tổ chức, đặt ra rủi ro an ninh đáng kể cho các doanh nghiệp dựa vào nền tảng quản lý danh tính và truy cập đám mây của Microsoft.
Lỗ hổng này tạo ra một con đường cho các tác nhân đe dọa khai thác các cơ chế xác thực và leo thang đặc quyền của chúng trong dịch vụ thư mục. Cụ thể, lỗ hổng nhắm mục tiêu vào cơ sở hạ tầng identity and access management (IAM), cho phép người dùng trái phép có khả năng giành được đặc quyền Global Administrator – cấp độ truy cập cao nhất trong một tenant Entra ID.
Theo phân tích từ các nhà nghiên cứu bảo mật tại Datadog Security Labs, kỹ thuật leo thang đặc quyền này khai thác các điểm yếu trong hệ thống kiểm soát truy cập dựa trên vai trò (Role-Based Access Control – RBAC) quản lý các quyền hạn trong môi trường Microsoft Entra ID. Lỗ hổng cho phép kẻ tấn công bỏ qua các kiểm soát xác thực và ủy quyền thông thường, thực tế là vượt qua các ranh giới bảo mật bảo vệ các chức năng quản trị nhạy cảm.
Kỹ thuật Khai thác
Vector tấn công chính liên quan đến việc thao túng các lệnh gọi Azure Active Directory Graph API và khai thác sự không nhất quán trong cách hệ thống xác thực quyền của người dùng trong quá trình yêu cầu nâng đặc quyền. Kẻ tấn công có thể lợi dụng các API endpoints cụ thể để yêu cầu các quyền hạn cao hơn mà thông thường sẽ yêu cầu quy trình xác thực và ủy quyền thích hợp.
Quá trình khai thác đòi hỏi việc tạo ra các yêu cầu độc hại nhắm mục tiêu vào cơ sở hạ tầng Microsoft Graph API, đặc biệt tập trung vào các endpoint chịu trách nhiệm quản lý vai trò người dùng và quyền hạn. Bằng cách thao túng các yêu cầu này, kẻ tấn công có thể thuyết phục hệ thống cấp cho họ các quyền hạn quản trị cao hơn mức được phép. Kỹ thuật này cho phép các tác nhân đe dọa vượt qua các kiểm soát bảo mật truyền thống và giành quyền truy cập trái phép vào các chức năng quản trị thường chỉ dành cho các Global Administrator hợp pháp.
Ví dụ, một kẻ tấn công có thể gửi một yêu cầu API giả mạo để cập nhật vai trò của một tài khoản người dùng thông thường thành Global Administrator. Nếu hệ thống không kiểm tra chặt chẽ tính hợp lệ của người dùng thực hiện yêu cầu hoặc các điều kiện liên quan đến việc cấp quyền, yêu cầu đó có thể được xử lý thành công, cấp cho kẻ tấn công quyền truy cập quản trị đầy đủ.
Phạm vi Ảnh hưởng và Hậu quả
Các tổ chức sử dụng Microsoft Entra ID cho các dịch vụ quan trọng như Single Sign-On (SSO), Multi-Factor Authentication (MFA) và các chính sách Conditional Access đối mặt với rủi ro phơi nhiễm đáng kể. Việc khai thác thành công lỗ hổng leo thang đặc quyền này có thể cấp cho kẻ tấn công quyền kiểm soát toàn diện đối với tài khoản người dùng, chính sách bảo mật và dữ liệu nhạy cảm của tổ chức được lưu trữ trong hệ sinh thái Microsoft 365.
Mức độ truy cập này có thể cho phép kẻ tấn công thực hiện một loạt các hành động độc hại, bao gồm:
- Thao túng tài khoản người dùng: Đặt lại mật khẩu, tạo tài khoản người dùng mới, vô hiệu hóa hoặc xóa tài khoản hiện có, thay đổi vai trò và quyền hạn của người dùng.
- Thay đổi chính sách bảo mật: Điều chỉnh các chính sách truy cập có điều kiện, cấu hình MFA, hoặc các cài đặt bảo mật khác, làm suy yếu khả năng phòng thủ của tổ chức.
- Truy cập dữ liệu nhạy cảm: Truy cập vào các SharePoint sites, OneDrive folders, Exchange mailboxes, hoặc các dịch vụ lưu trữ dữ liệu khác trong Microsoft 365 mà quyền Global Administrator có thể truy cập được.
- Thiết lập backdoors bền vững: Tạo tài khoản quản trị mới hoặc cấu hình các cơ chế truy cập từ xa để duy trì quyền truy cập trái phép dài hạn vào tài nguyên doanh nghiệp, ngay cả khi tài khoản ban đầu bị vô hiệu hóa hoặc lỗ hổng được vá.
Lỗ hổng này ảnh hưởng đến các cấu hình tenant-wide, có khả năng cho phép kẻ tấn công sửa đổi cài đặt bảo mật, tạo tài khoản quản trị mới và truy cập thông tin bảo mật trên tất cả các ứng dụng và dịch vụ được kết nối. Mức độ truy cập này không chỉ giới hạn trong Entra ID mà còn mở rộng đến các dịch vụ phụ thuộc vào nó để quản lý danh tính và quyền hạn, bao gồm các ứng dụng đám mây và on-premises được tích hợp.
Biện pháp Giảm thiểu và Khuyến nghị
Để giảm thiểu rủi ro từ lỗ hổng leo thang đặc quyền này, các tổ chức nên thực hiện ngay lập tức các biện pháp bảo mật sau:
Tăng cường Giám sát và Ghi nhật ký
- Giám sát hoạt động leo thang đặc quyền bất thường: Thiết lập các cảnh báo và cơ chế giám sát mạnh mẽ để phát hiện bất kỳ nỗ lực hoặc hoạt động nào liên quan đến việc thay đổi quyền hạn người dùng hoặc vai trò quản trị. Đặc biệt chú ý đến các sự kiện liên quan đến Global Administrator và các vai trò đặc quyền cao khác.
- Thiết lập cơ chế ghi nhật ký kiểm toán mạnh mẽ: Đảm bảo rằng tất cả các hoạt động quản trị trong Microsoft Entra ID và các dịch vụ liên quan được ghi nhật ký đầy đủ và liên tục. Các nhật ký này cần được thu thập, phân tích và lưu trữ an toàn để phục vụ mục đích điều tra và pháp y khi cần thiết. Cụ thể, cần theo dõi các sự kiện như tạo người dùng mới, thay đổi vai trò người dùng, thay đổi mật khẩu quản trị, và thay đổi các chính sách truy cập.
Kiểm soát Truy cập và Quản trị Danh tính
- Xem xét khung quản trị danh tính hiện tại: Đánh giá lại các chính sách và quy trình quản lý danh tính, bao gồm việc cấp phát, thu hồi và quản lý quyền hạn. Đảm bảo rằng nguyên tắc đặc quyền tối thiểu (Principle of Least Privilege) được áp dụng một cách nghiêm ngặt.
- Thực hiện các bước xác minh bổ sung cho các hoạt động nhạy cảm: Đối với các thao tác quản trị quan trọng, chẳng hạn như thay đổi vai trò Global Administrator hoặc cấu hình các chính sách bảo mật cấp cao, nên yêu cầu xác minh đa yếu tố (MFA) hoặc quy trình phê duyệt bổ sung (ví dụ: truy cập Just-In-Time) để ngăn chặn truy cập trái phép.
- Đánh giá toàn diện các gán quyền Global Administrator hiện có: Định kỳ xem xét tất cả các tài khoản được gán vai trò Global Administrator để đảm bảo rằng chỉ những người dùng thực sự cần thiết mới có quyền này. Sử dụng tài khoản quản trị chỉ khi cần và với thời gian giới hạn.
Kiến trúc Zero Trust và Cập nhật Bảo mật
- Củng cố triển khai kiến trúc Zero-Trust: Áp dụng các nguyên tắc Zero Trust, đặc biệt là “không tin tưởng, luôn xác minh,” cho mọi nỗ lực truy cập vào tài nguyên tổ chức, bất kể vị trí của người dùng hoặc thiết bị. Điều này bao gồm việc kiểm tra chặt chẽ danh tính, thiết bị và các điều kiện truy cập.
- Chuẩn bị cho các bản cập nhật bảo mật sắp tới: Microsoft đã được thông báo về lỗ hổng này. Các tổ chức nên theo dõi chặt chẽ các thông báo từ Microsoft và chuẩn bị triển khai ngay lập tức các bản vá hoặc cập nhật bảo mật khi chúng được phát hành để khắc phục lỗ hổng này. Việc cập nhật kịp thời là yếu tố then chốt để bảo vệ chống lại các cuộc tấn công khai thác.
