VietNetwork.Vn

Lỗi xác thực mã thông báo quan trọng trong Microsoft Entra ID (trước đây là Azure Active Directory) có thể cho phép kẻ tấn công mạo danh bất kỳ người dùng nào, bao gồm cả Quản trị viên toàn cầu, trên bất kỳ đối tượng thuê nào.

Lỗ hổng bảo mật, được theo dõi với tên gọi CVE-2025-55241, đã được gán điểm CVSS tối đa là 10.0. Microsoft mô tả đây là lỗ hổng leo thang đặc quyền trong Azure Entra. Không có dấu hiệu nào cho thấy sự cố này đã bị khai thác ngoài thực tế. Nhà sản xuất Windows đã khắc phục sự cố này kể từ ngày 17 tháng 7 năm 2025 mà không cần khách hàng phải thực hiện bất kỳ hành động nào.


Nhà nghiên cứu bảo mật Dirk-jan Mollema, người đã phát hiện và báo cáo lỗ hổng này vào ngày 14 tháng 7, cho biết lỗ hổng này có thể xâm phạm mọi đối tượng thuê Entra ID trên thế giới, ngoại trừ các triển khai đám mây quốc gia.

Vấn đề bắt nguồn từ sự kết hợp của hai thành phần: việc sử dụng mã thông báo tác nhân dịch vụ-đến-dịch vụ (S2S) do Dịch vụ kiểm soát truy cập (ACS) phát hành và một lỗ hổng nghiêm trọng trong Azure AD Graph API cũ (graph.windows.net) không xác thực đầy đủ đối tượng thuê ban đầu, điều này cho phép sử dụng mã thông báo để truy cập giữa các đối tượng thuê.

Điều đáng chú ý là các mã thông báo này tuân theo chính sách Truy cập Có Điều kiện của Microsoft, cho phép kẻ xấu có quyền truy cập vào Graph API thực hiện các sửa đổi trái phép. Tệ hơn nữa, việc thiếu tính năng ghi nhật ký cấp API cho Graph API đồng nghĩa với việc nó có thể bị khai thác để truy cập thông tin người dùng được lưu trữ trong Entra ID, chi tiết nhóm và vai trò, cài đặt đối tượng thuê, quyền ứng dụng, thông tin thiết bị và khóa BitLocker được đồng bộ hóa với Entra ID mà không để lại bất kỳ dấu vết nào.

Việc mạo danh Quản trị viên toàn cầu có thể cho phép kẻ tấn công tạo tài khoản mới, cấp cho mình các quyền bổ sung hoặc đánh cắp dữ liệu nhạy cảm, dẫn đến xâm phạm toàn bộ quyền truy cập vào bất kỳ dịch vụ nào sử dụng Entra ID để xác thực, chẳng hạn như SharePoint Online và Exchange Online.

Mollema lưu ý: "Nó cũng sẽ cung cấp quyền truy cập đầy đủ vào bất kỳ tài nguyên nào được lưu trữ trên Azure, vì các tài nguyên này được kiểm soát từ cấp độ người thuê và Quản trị viên toàn cầu có thể tự cấp cho mình các quyền đối với đăng ký Azure".

Microsoft đã mô tả những trường hợp truy cập chéo như vậy là trường hợp "Truy cập đặc quyền cao" (HPA) "xảy ra khi một ứng dụng hoặc dịch vụ có được quyền truy cập rộng rãi vào nội dung của khách hàng, cho phép ứng dụng hoặc dịch vụ đó mạo danh người dùng khác mà không cung cấp bất kỳ bằng chứng nào về bối cảnh của người dùng".

Cần lưu ý rằng API Azure AD Graph đã chính thức ngừng hoạt động kể từ ngày 31 tháng 8 năm 2025, và gã khổng lồ công nghệ này đang khuyến khích người dùng chuyển đổi ứng dụng sang Microsoft Graph. Thông báo ban đầu về việc ngừng hoạt động này được đưa ra vào năm 2019.

Microsoft đã lưu ý vào cuối tháng 6 năm 2025 rằng: "Các ứng dụng được cấu hình để truy cập mở rộng vẫn phụ thuộc vào API Azure AD Graph sẽ không thể tiếp tục sử dụng các API này kể từ đầu tháng 9 năm 2025".

Công ty bảo mật đám mây Mitiga cho biết việc khai thác thành công CVE-2025-55241 có thể bỏ qua xác thực đa yếu tố (MFA), Truy cập có điều kiện và ghi nhật ký, không để lại dấu vết của sự cố.

"Kẻ tấn công có thể tạo ra các token [tác nhân] này theo cách đánh lừa Entra ID, khiến chúng nghĩ rằng chúng là bất kỳ ai, ở bất kỳ đâu", Roei Sherman của Mitiga cho biết. "Lỗ hổng bảo mật phát sinh do API cũ không xác thực được nguồn gốc của token."

"Điều này có nghĩa là kẻ tấn công có thể lấy mã thông báo Actor từ môi trường thử nghiệm không có đặc quyền của riêng chúng và sau đó sử dụng nó để mạo danh Quản trị viên Toàn cầu trong bất kỳ đối tượng thuê nào của công ty khác. Kẻ tấn công không cần bất kỳ quyền truy cập nào trước đó vào tổ chức mục tiêu."

Trước đó, Mollema cũng đã nêu chi tiết về một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến các phiên bản Exchange Server tại chỗ (CVE-2025-53786, điểm CVSS: 8.0) có thể cho phép kẻ tấn công chiếm quyền cao hơn trong một số điều kiện nhất định. Một nghiên cứu khác phát hiện ra rằng việc cấu hình sai chứng chỉ Intune (chẳng hạn như mã định danh giả mạo) có thể bị người dùng thông thường lợi dụng để thực hiện cuộc tấn công ESC1 nhắm vào môi trường Active Directory.

Sự phát triển này diễn ra vài tuần sau khi Haakon Holm Gulbrandsrud của Binary Security tiết lộ rằng phiên bản API Manager (APIM) được chia sẻ dùng để tạo điều kiện cho các kết nối phần mềm dưới dạng dịch vụ (SaaS) có thể được gọi trực tiếp từ Azure Resource Manager để đạt được quyền truy cập giữa các đối tượng thuê.

"Kết nối API cho phép bất kỳ ai xâm phạm hoàn toàn bất kỳ kết nối nào khác trên toàn thế giới, cung cấp quyền truy cập đầy đủ vào hệ thống backend được kết nối", Gulbrandsrud nói. "Điều này bao gồm xâm phạm chéo đối với Key Vault và cơ sở dữ liệu Azure SQL, cũng như bất kỳ dịch vụ kết nối bên ngoài nào khác, chẳng hạn như Jira hoặc Salesforce."

Điều này cũng diễn ra sau khi phát hiện ra một số lỗ hổng và phương pháp tấn công liên quan đến đám mây trong những tuần gần đây -

    Một lỗi cấu hình OAuth của Entra ID đã cấp quyền truy cập trái phép vào Engineering Hub Rescue của Microsoft ngay cả khi sử dụng tài khoản Microsoft cá nhân, làm lộ 22 dịch vụ nội bộ và dữ liệu liên quan.
    Một cuộc tấn công khai thác tính năng Di chuyển thư mục đã biết (KFM) của Microsoft OneDrive for Business, cho phép kẻ xấu xâm nhập vào người dùng Microsoft 365 bằng tính năng đồng bộ hóa OneDrive để truy cập vào các ứng dụng và tệp được đồng bộ hóa với SharePoint Online.
    Rò rỉ thông tin đăng nhập ứng dụng Azure AD trong tệp Cài đặt ứng dụng (appsettings.json) có thể truy cập công khai, có thể bị khai thác để xác thực trực tiếp với các điểm cuối OAuth 2.0 của Microsoft và đánh cắp dữ liệu nhạy cảm, triển khai các ứng dụng độc hại hoặc leo thang đặc quyền.
    Một cuộc tấn công lừa đảo có chứa liên kết đến ứng dụng OAuth giả mạo được đăng ký trong Microsoft Azure, lừa người dùng cấp cho ứng dụng này quyền trích xuất khóa truy cập Amazon Web Services (AWS) cho môi trường hộp cát trong hộp thư bị xâm phạm, cho phép các tác nhân không xác định liệt kê các quyền AWS và khai thác mối quan hệ tin cậy giữa môi trường hộp cát và môi trường sản xuất để nâng cao đặc quyền, giành quyền kiểm soát hoàn toàn cơ sở hạ tầng AWS của tổ chức và đánh cắp dữ liệu nhạy cảm.
    Một cuộc tấn công liên quan đến việc khai thác lỗ hổng Server-Side Request Forgery (SSRF) trong các ứng dụng web để gửi yêu cầu đến dịch vụ siêu dữ liệu AWS EC2 với mục đích truy cập Dịch vụ siêu dữ liệu phiên bản (IMDS) để xâm phạm tài nguyên đám mây bằng cách truy xuất thông tin xác thực bảo mật tạm thời được gán cho vai trò IAM của phiên bản.
    Một sự cố hiện đã được vá trong công cụ Trusted Advisor của AWS có thể bị khai thác để vượt qua Kiểm tra bảo mật S3 bằng cách điều chỉnh một số chính sách thùng lưu trữ, khiến công cụ báo cáo sai các thùng S3 được công khai là an toàn, do đó khiến dữ liệu nhạy cảm dễ bị đánh cắp dữ liệu và vi phạm dữ liệu.
    Mã kỹ thuật AWSDoor sửa đổi cấu hình IAM liên quan đến chính sách tin cậy và vai trò AWS để thiết lập tính bền vững trên môi trường AWS.

Những phát hiện cho thấy ngay cả những cấu hình sai phổ biến trong môi trường đám mây cũng có thể gây ra hậu quả thảm khốc cho các tổ chức liên quan, dẫn đến tình trạng đánh cắp dữ liệu và các cuộc tấn công tiếp theo.

Các nhà nghiên cứu Yoann Dequeker và Arnaud Petitcol của RiskInsight cho biết trong một báo cáo được công bố tuần trước: "Các kỹ thuật như tiêm mã AccessKey, xâm nhập chính sách tin cậy và sử dụng chính sách NotAction cho phép kẻ tấn công tiếp tục hoạt động mà không cần triển khai phần mềm độc hại hoặc kích hoạt báo động".

"Ngoài IAM, kẻ tấn công có thể tự lợi dụng tài nguyên AWS – chẳng hạn như các hàm Lambda và phiên bản EC2 – để duy trì quyền truy cập. Vô hiệu hóa CloudTrail, sửa đổi bộ chọn sự kiện, triển khai chính sách vòng đời để xóa S3 một cách âm thầm hoặc tách tài khoản khỏi AWS Organizations đều là những kỹ thuật làm giảm khả năng giám sát và cho phép xâm phạm hoặc phá hủy lâu dài."