Дослідник із кібербезпеки виявив дві серйозні уразливості в системі Microsoft Entra ID, які потенційно дозволяли отримати адміністративний доступ до акаунтів майже всіх клієнтів Azure. На щастя, проблеми були оперативно усунені, пише ArsTechnica.

Фахівець із хмарної безпеки Дірк-Ян Моллема з компанії Outsider Security під час підготовки до конференції Black Hat 2025 натрапив на критичні баги в Entra ID.

Він з’ясував, що завдяки так званим Actor Tokens і вразливості у застарілому API Azure AD Graph зловмисник міг отримати глобальні права адміністратора у будь-якому користувацькому каталозі. Це відкривало можливість повного контролю над акаунтами клієнтів, створення нових користувачів і зміну конфігурацій.

За оцінками експертів, уразливість фактично дозволяла повний контроль над будь-яким сервісом Microsoft, який використовує Entra ID: Azure, SharePoint, Exchange, Microsoft 365 тощо.

Подібні інциденти вже траплялися: у 2023 році хакерська група Storm-0558 отримала криптографічний ключ для Outlook і зламала урядові поштові акаунти США. Експерти наголошують, що нова знахідка Моллеми могла мати ще масштабніші наслідки.