Microsoft Entra ID’da topilgan xavfli zaiflik: butun korporativ muhitni egallash imkoniyati

2025-yil iyulida kiberxavfsizlik bo‘yicha mutaxassis Dirk-jan Mollema Microsoft Entra ID (sobiq Azure Active Directory) tizimida eng xavfli zaifliklardan birini aniqladi. Bu zaiflikga CVE-2025-55241 identifikatori berildi va Microsoft uni bir necha kun ichida tuzatdi.

Mazkur xato tufayli hujumchi istalgan tashkilotning Entra ID korporativ muhitiga Global Administrator huquqlari bilan kira olishi, butun infratuzilmani boshqarib olishi mumkin edi.

Zaiflik qanday ishlagan?

Zaiflik ikki asosiy omil natijasida yuzaga kelgan:

  1. Actor tokenlar – Microsoft ichki xizmatlari o‘rtasida ishlatiladigan maxsus tokenlar. Ular oddiy xavfsizlik siyosatlariga, masalan, Conditional Access qoidalariga bo‘ysunmaydi.
  2. Azure AD Graph API’dagi xato – API kelayotgan token aynan o‘sha tenantga tegishliligini tekshirmagan.

Natijada hujumchi o‘z laboratoriyasida olingan Actor tokenni boshqa tashkilotning tenantiga qarshi ishlata olgan. Shu orqali u istalgan foydalanuvchini, jumladan Global Administratorni taqlid qilib, to‘liq nazoratni qo‘lga olishi mumkin edi.

Qanday xavflar keltirardi?

Agar xaker bu imkoniyatdan foydalanganida:

  • Tenant sozlamalarini o‘zgartirishi, yangi admin qo‘shishi yoki mavjud akkauntlarni egallab olishi,
  • Exchange Online, SharePoint Online kabi xizmatlardan maxfiy ma’lumotlarni o‘qishi,
  • Azure’dagi resurslarni boshqarishi mumkin edi.

Eng xavflisi shundaki, bu hujum deyarli iz qoldirmagan. Qurbon tenantda token ishlatilganligi loglarda aks etmagan. Faqatgina ma’lumot o‘zgartirilganda ayrim audit yozuvlari paydo bo‘lgan, biroq ular noto‘g‘ri nomlar ostida qayd etilgani sababli ko‘p hollarda e’tibordan chetda qolishi mumkin edi.

Microsoftning chorasi

  • 14-iyul 2025 – Zaiflik topilib MSRC’ga xabar berildi.
  • 17-iyul 2025 – Microsoft global darajada yamoq chiqardi.
  • Avgust 2025 – Qo‘shimcha himoya choralarini qo‘shib, Actor tokenlardan foydalanishni keskin chekladi.

Microsoft telemetriyasi bo‘yicha, bu zaiflik real hujumlarda ishlatilganiga oid dalillar topilmadi.

Tashkilotlar uchun tavsiyalar

  1. Yangilanishlarni o‘rnatish. Microsoft bergan barcha patchlarni darhol joriy qiling.
  2. Audit va monitoring. Tadqiqotchining taklif etgan KQL qoidalari orqali g‘ayrioddiy tokenlardan foydalanish holatlarini qidiring.
  3. Conditional Access va kirish siyosatlarini kuchaytirish. Har bir kirish jarayonini qat’iy nazorat qiling.
  4. Guest foydalanuvchilarni tekshirish. B2B orqali boshqa tenantlardan kirishga ruxsatlar qayta ko‘rib chiqilsin.

Bu zaiflik Microsoft Entra ID kabi identifikatsiya va autentifikatsiya tizimlarining ishonchliligi butun korporativ infratuzilma xavfsizligini belgilashini yana bir bor ko‘rsatdi. Agar vaqtida topilmaganida, u global miqyosda minglab tashkilotlarning ma’lumotlarini xavf ostiga qo‘yishi mumkin edi.

Sabog‘i shuki: har qanday tashkilot nafaqat yangilanishlarni o‘z vaqtida o‘rnatishi, balki token boshqaruvi, API xavfsizligi va monitoringni doimiy ravishda takomillashtirib borishi zarur.