微软Entra ID中的安全漏洞

关键要点

在Microsoft Entra ID中发现一项安全漏洞，允许拥有本地管理权限的攻击者绕过身份验证。攻击者可利用此漏洞通过PTA代理以任意经过同步的Entra ID用户身份进行登录。尽管该漏洞本身不自动赋予全球管理权限，但为攻击者利用现有特权账户提供了途径。研究者已将初步发现报告给微软安全响应中心，但微软认为这并不是立即威胁且严重性适中。

在微软的Entra ID之前称为Azure Active Directory中，观察到了一项漏洞，该漏洞允许拥有本地管理权限的恶意演员通过传递身份验证代理PTA绕过认证控制，从而获得对任何已同步Entra ID用户的未经授权访问。

Cymulate的研究人员在8月15日的一篇博客文章中解释说，攻击者可以通过操纵凭据验证过程，绕过安全检查，实际上将PTA代理变成一个“双重代理”，使攻击者能够以任何已同步Entra ID用户的身份登录，而无需知道其实际密码。

因此，它不仅仅是让用户用相同密码登录本地和云应用 这是PTA的设计目的，潜在上还可能授予全球管理员用户的访问权限，从而具备整个企业的全面网络权限。

“虽然这个漏洞本身并不会授予全球管理权限，但它为攻击者利用现有的特权账户提供了一个路径，”Critical Start的网络威胁情报研究分析师Sarah Jones表示。“为了降低这一风险，组织必须实施严格的安全措施，包括限制对PTA代理服务器的访问、制定强密码政策以及强制多因素身份验证。”

DoControl的产品经理Tal Mandel Bar补充道，随着云身份服务在企业运营中变得愈发重要，它们自然成为攻击者的首要目标。在此案例中，Mandel Bar表示，Cymulate研究人员发现了一种方式，将一个受信任的组件PTA代理转变为后门，这是滥用合法功能以获取恶意目的的经典案例。

“如果攻击者能够利用这个漏洞，他们可能会伪装成系统中的任何用户，包括拥有最高级别权限的用户，”Mandel Bar指出。“这就像能够戴上任何人的身份徽章，甚至是首席执行官的徽章。特别令人担忧的是，这个漏洞可能会启用横向移动。在复杂的企业环境中，具有多个子公司或部门，攻击者可能会从一个域跳转到另一个域，可能会危及整个组织。”

白鲸加速器下载链接

Cymulate研究人员在博客中提到，他们于7月5日将初步发现报告给了微软安全响应中心MSRC。MSRC在7月19日回复了Cymulate研究人员，解释称该问题并不是立即的威胁，并且其严重性为“中等”。尽管微软计划在其一端修复代码，并且该问题已在其待办事项列表中，但未有当前的修复时间表，Cymulate研究人员指出，微软也表示他们不会对此问题发布CVE。

在周五下午早些时候，未能联系到微软。