Các lỗ hổng Entra ID của Microsoft có thể là thảm họa

Tác giả tanthanh 06/02/2026 12 phút đọc

Khi các doanh nghiệp trên khắp thế giới đã chuyển cơ sở hạ tầng kỹ thuật số của họ trong thập kỷ qua từ máy chủ tự lưu trữ sang máy chủ đám mây, họ'đã được hưởng lợi từ các tính năng bảo mật tích hợp, được tiêu chuẩn hóa của các nhà cung cấp đám mây lớn như Microsoft. Nhưng với rất nhiều điều trên các hệ thống này, có thể có khả năng xảy ra hậu quả tai hại ở quy mô lớn nếu có sự cố xảy ra. Trường hợp điển hình: Nhà nghiên cứu bảo mật Dirk-jan Mollema gần đây đã tình cờ phát hiện ra a cặp lỗ hổng trong nền tảng quản lý truy cập và nhận dạng của Microsoft Azure, nền tảng này có thể đã bị khai thác để tiếp quản toàn bộ tài khoản khách hàng Azure một cách thảm khốc.

Được biết đến với tên Entra ID, hệ thống lưu trữ danh tính người dùng của mỗi khách hàng trên đám mây Azure, kiểm soát truy cập đăng nhập, ứng dụng và công cụ quản lý đăng ký. Mollema đã nghiên cứu sâu về bảo mật Entra ID và công bố nhiều nghiên cứu về điểm yếu trong hệ thống, trước đây được gọi là Azure Active Directory. Nhưng trong khi chuẩn bị đ hiện tại tại hội nghị bảo mật Black Hat ở Las Vegas vào tháng 7, Mollema đã phát hiện ra hai lỗ hổng mà anh nhận ra có thể được sử dụng để giành được các đặc quyền của quản trị viên toàn cầu, về cơ bản là thần mode— và xâm phạm mọi thư mục Entra ID hoặc cái được gọi là — tenant.“ Mollema nói rằng điều này sẽ khiến gần như mọi người thuê Entra ID trên thế giới không phải là cơ sở hạ tầng đám mây của chính phủ.

“Tôi chỉ đang nhìn chằm chằm vào màn hình của mình. Tôi giống như, ‘Không, điều này không nên thực sự xảy ra,’” Mollema, người điều hành công ty an ninh mạng Hà Lan Outsider Security và chuyên về bảo mật đám mây, nói. “Nó khá tệ. Dù nó có tệ đến đâu, tôi cũng sẽ nói.”

“Từ người thuê nhà của riêng tôi—người thuê thử nghiệm của tôi hoặc thậm chí là người thuê thử nghiệm—, bạn có thể yêu cầu các mã thông báo này và về cơ bản bạn có thể mạo danh bất kỳ ai khác trong người thuê nhà của bất kỳ ai khác,” Mollema cho biết thêm. “Điều đó có nghĩa là bạn có thể sửa đổi cấu hình của người khác, tạo người dùng mới và quản trị viên trong đối tượng thuê đó và làm bất cứ điều gì bạn muốn.”

Do mức độ nghiêm trọng của lỗ hổng, Mollema đã tiết lộ những phát hiện của mình cho Trung tâm phản hồi bảo mật của Microsoft vào ngày 14 tháng 7, cùng ngày ông phát hiện ra các lỗ hổng. Microsoft bắt đầu điều tra các phát hiện vào ngày hôm đó và đưa ra bản sửa lỗi trên toàn cầu vào ngày 17 tháng 7. Công ty xác nhận với Mollema rằng vấn đề đã được khắc phục trước ngày 23 tháng 7 và thực hiện các biện pháp bổ sung vào tháng 8. Microsoft ban hành CVE đối với lỗ hổng vào ngày 4 tháng 9.

“Chúng tôi đã giảm thiểu vấn đề mới được xác định một cách nhanh chóng và đẩy nhanh công việc khắc phục đang được tiến hành để ngừng sử dụng giao thức cũ này, như một phần của Sáng kiến Tương lai An toàn của chúng tôi,” Tom Gallagher, phó chủ tịch kỹ thuật của Trung tâm Phản hồi Bảo mật của Microsoft, nói với WIRED trong một tuyên bố. “Chúng tôi đã triển khai thay đổi mã trong logic xác thực dễ bị tấn công, thử nghiệm bản sửa lỗi và áp dụng nó trên hệ sinh thái đám mây của chúng tôi.”

Gallagher nói rằng Microsoft không tìm thấy “bằng chứng nào về việc lạm dụng lỗ hổng trong quá trình điều tra.

Cả hai lỗ hổng đều liên quan đến các hệ thống cũ vẫn hoạt động trong Entra ID. Đầu tiên liên quan đến một loại mã thông báo xác thực Azure Mollema được phát hiện được gọi là Mã thông báo diễn viên được phát hành bởi cơ chế Azure khó hiểu được gọi là “Dịch vụ kiểm soát truy cập.” Actor Tokens có một số thuộc tính hệ thống đặc biệt mà Mollema nhận ra có thể hữu ích cho kẻ tấn công khi kết hợp với một lỗ hổng khác. Lỗi còn lại là một lỗ hổng lớn trong giao diện lập trình ứng dụng Azure Active Directory lịch sử được gọi là “Graph”, được sử dụng để tạo điều kiện truy cập vào dữ liệu được lưu trữ trong Microsoft 365. Microsoft đang trong quá trình ngừng sử dụng Azure Active Directory Graph và chuyển người dùng sang người kế nhiệm của nó, Microsoft Graph, được thiết kế cho Entra ID.Lỗ hổng này liên quan đến việc Azure AD Graph không xác thực chính xác đối tượng thuê Azure nào đang đưa ra yêu cầu truy cập, yêu cầu này có thể bị thao túng để API chấp nhận Mã thông báo tác nhân từ một đối tượng thuê khác mà lẽ ra phải bị từ chối.

michael Bargury, CTO tại công ty bảo mật Zenity, cho biết “Microsoft đã xây dựng các biện pháp kiểm soát bảo mật xung quanh danh tính như truy cập có điều kiện và nhật ký, nhưng cơ chế mã thông báo hiển thị nội bộ này bỏ qua tất cả chúng. “Đây là lỗ hổng có tác động mạnh nhất mà bạn có thể tìm thấy ở nhà cung cấp danh tính, cho phép thỏa hiệp hoàn toàn một cách hiệu quả đối với bất kỳ người thuê nào của bất kỳ khách hàng nào.”

Nếu lỗ hổng đã được phát hiện bởi, hoặc rơi vào tay của các tin tặc độc hại, bụi phóng xạ có thể đã tàn phá.

“Chúng tôi không cần phải đoán tác động có thể là gì; hai năm trước chúng tôi đã thấy điều gì đã xảy ra khi Storm-0558 xâm phạm khóa ký cho phép họ đăng nhập với tư cách là bất kỳ người dùng nào trên bất kỳ người thuê nào,” Bargury nói.

Mặc dù các chi tiết kỹ thuật cụ thể khác nhau, Microsoft tiết lộ vào tháng 7 năm 2023 rằng nhóm gián điệp mạng Trung Quốc có tên Storm-0558 đã đánh cắp khóa mật mã cho phép họ tạo mã thông báo xác thực và truy cập hệ thống email Outlook dựa trên đám mây, bao gồm cả những người thuộc các cơ quan chính phủ Hoa Kỳ.

Được tiến hành trong vài tháng, một cuộc khám nghiệm tử thi của Microsoft về cuộc tấn công Storm-0558 lộ ra một số lỗi điều đó dẫn đến việc nhóm Trung Quốc vượt qua hàng phòng ngự của đám mây. Sự cố bảo mật là một trong chuỗi các vấn đề của Microsoft vào khoảng thời gian đó. Những điều này đã thúc đẩy công ty làm như vậy khởi động Sáng kiến Tương lai An toàn “,” mở rộng các biện pháp bảo vệ cho hệ thống bảo mật đám mây và đặt ra các mục tiêu tích cực hơn để ứng phó với việc tiết lộ lỗ hổng và phát hành bản vá.

Mollema nói rằng Microsoft đã cực kỳ phản hồi về những phát hiện của ông và dường như nắm bắt được tính cấp bách của chúng. Nhưng ông nhấn mạnh rằng những phát hiện của ông có thể đã cho phép các tin tặc độc hại tiến xa hơn những gì chúng đã làm trong vụ việc năm 2023.

“With the vulnerability, you could just add yourself as the highest privileged admin in the tenant, so then you have full access,” Mollema says. Any Microsoft service “that you use EntraID to sign into, whether that be Azure, whether that be SharePoint, whether that be Exchange—that could have been compromised with this.”