นักวิจัยพบ API ลึกลับใน Entra ID ปลอมตัวเป็นใครก็ได้ ไมโครซอฟท์ปิดช่องโหว่แล้ว
Body
Dirk-jan Mollema นักวิจัยความปลอดภัยไซเบอร์จากบริษัท Outsider Security รายงานถึงช่องโหว่ CVE-2025-55241 ที่เปิดทางให้คนร้ายสามารถปลอมตัวเป็นใครก็ได้ใน Azure AD ทั้งระบบ ผ่านทางการขอ Actor token ที่ปกติไม่มีการใช้งาน
Actor token เป็นโทเค็นที่ Access Control Service จ่ายออกมาเพื่อให้บริการต่างๆ สามารถเชื่อมต่อกับบริการอื่นแทนผู้ใช้ตัวจริงได้ เช่น Exchange สามารถเชื่อมต่อกับบริการอื่นแทนผู้ใช้ที่ล็อกอินใน Exchange หรือเรียกโดยรวมว่า impersonation token ฟีเจอร์นี้มักใช้งานใน Exchange และ SharePoint เป็นหลัก
Mollema ทดลอง Actor token โดยลองเปลี่ยน tenant ID เป็น tenant อื่นแล้วพบว่าสามารถใช้งานได้ โดยเขาสามารถยิง API ในฐานะ Global Admin ได้อีกด้วย ทำให้เข้าถึงข้อมูลทั้งหมดของ tenant เป้าหมายได้โดยไม่มีข้อจำกัด เขาจึงแจ้งไมโครซอฟท์ไปตั้งแต่วันที่ 14 กรกฎาคมที่ผ่านมา และไมโครซอฟท์ก็ออกแพตช์แก้ไขในสามวัน
ไมโครซอฟท์แถลงถึง WIRED ระบุว่า API ส่วนนี้ที่จริงแล้วกำลังอยู่ระหว่างการถอดออกจากระบบ แต่กระบวนการแก้ไขก็ทำได้ในเวลาอันรวดเร็ว และไมโครซอฟท์ตรวจสอบแล้วไม่พบการโจมตีจากช่องโหว่นี้แต่อย่างใด
ช่องโหว่นี้ในคะแนน CVSS 3.1 base score อยู่ที่ 10 คะแนนเต็ม
ที่มา - Dirk-jan Mollema, ArsTechnica
lew Mon, 22/09/2025 - 12:52
Continue reading...
Body
Dirk-jan Mollema นักวิจัยความปลอดภัยไซเบอร์จากบริษัท Outsider Security รายงานถึงช่องโหว่ CVE-2025-55241 ที่เปิดทางให้คนร้ายสามารถปลอมตัวเป็นใครก็ได้ใน Azure AD ทั้งระบบ ผ่านทางการขอ Actor token ที่ปกติไม่มีการใช้งาน
Actor token เป็นโทเค็นที่ Access Control Service จ่ายออกมาเพื่อให้บริการต่างๆ สามารถเชื่อมต่อกับบริการอื่นแทนผู้ใช้ตัวจริงได้ เช่น Exchange สามารถเชื่อมต่อกับบริการอื่นแทนผู้ใช้ที่ล็อกอินใน Exchange หรือเรียกโดยรวมว่า impersonation token ฟีเจอร์นี้มักใช้งานใน Exchange และ SharePoint เป็นหลัก
Mollema ทดลอง Actor token โดยลองเปลี่ยน tenant ID เป็น tenant อื่นแล้วพบว่าสามารถใช้งานได้ โดยเขาสามารถยิง API ในฐานะ Global Admin ได้อีกด้วย ทำให้เข้าถึงข้อมูลทั้งหมดของ tenant เป้าหมายได้โดยไม่มีข้อจำกัด เขาจึงแจ้งไมโครซอฟท์ไปตั้งแต่วันที่ 14 กรกฎาคมที่ผ่านมา และไมโครซอฟท์ก็ออกแพตช์แก้ไขในสามวัน
ไมโครซอฟท์แถลงถึง WIRED ระบุว่า API ส่วนนี้ที่จริงแล้วกำลังอยู่ระหว่างการถอดออกจากระบบ แต่กระบวนการแก้ไขก็ทำได้ในเวลาอันรวดเร็ว และไมโครซอฟท์ตรวจสอบแล้วไม่พบการโจมตีจากช่องโหว่นี้แต่อย่างใด
ช่องโหว่นี้ในคะแนน CVSS 3.1 base score อยู่ที่ 10 คะแนนเต็ม
ที่มา - Dirk-jan Mollema, ArsTechnica
lew Mon, 22/09/2025 - 12:52
Continue reading...