#news В Microsoft Entra ID были уязвимости, позволявшие получить доступ к любому завязанному на неё инстансу. А разгадка проста: легаси-системы, про которые все забыли, а их разраб всё в этой жизни понял и давно пропал с радаров.
Цепочка из двух уязвимостей сводилась к токенам в бэкенде и критическому багу в легаси Azure AD Graph API — отсутствии валидации этих самых токенов. В результате они давали доступ к любому инстансу с правами глобального админа. В 2023-м китайская апэтэшечка стянула ключ для подписи, позволявший генерировать токены — здесь суть примерно та же с компрометацией всего и вся. Но уязвимость нашёл исследователь, её закрыли за пару дней в июле, happy end. Забивать на легаси-системы — это, конечно, добрая традиция, которую ни один уважающий себя разраб не нарушит, пытаясь понять сумрачный гений предшественников. Но когда это системы управления учётками, последствия могут быть интересными. Подробнее об уязвимостях здесь.
