-
09/04/2020
-
114
-
1.122 bài viết
Microsoft vá lỗ hổng điểm 10 nghiêm trọng, nguy cơ giả mạo Global Admin
Các chuyên gia vừa công bố một phát hiện nghiêm trọng: cơ chế cấp mã thông báo nội bộ của Microsoft, kết hợp với một lỗi trong giao diện lập trình cũ có thể bị lợi dụng để mạo danh bất kỳ người dùng nào, kể cả Global Administrator trên tenant khác. Kịch bản này có thể dẫn tới việc kẻ tấn công chiếm quyền kiểm soát toàn bộ dịch vụ Microsoft 365 và Azure của nạn nhân mà hầu như không để lại dấu vết. Lỗ hổng được ghi nhận là CVE-2025-55241 và được đánh giá CVSS 10,0, tức mức tối đa.
Hệ thống danh tính (identity) như Microsoft Entra ID được coi là "xương sống” cho hàng triệu doanh nghiệp sử dụng Microsoft 365 và Azure. Khi một kẻ xấu có thể mạo danh Global Admin mà không cần vượt qua MFA hay Conditional Access, hậu quả không chỉ là email bị lộ mà đó là toàn bộ hạ tầng, dữ liệu và dịch vụ đám mây có thể rơi vào tay kẻ tấn công.
Nguyên nhân chính khiến lỗ hổng CVE-2025-55241 này tồn tại là vì nhiều thành phần được thiết kế dành riêng cho “nội bộ” nên bị xem nhẹ về mặt an ninh. Mã tác nhân nội bộ vốn được coi là kênh tin cậy giữa các dịch vụ, nên ít được giám sát, không có cơ chế thu hồi tức thì và hầu như không lưu lại nhật ký chi tiết. Đồng thời, nhiều tổ chức vẫn phụ thuộc vào API cũ mà nhà cung cấp đã cảnh báo nên bỏ dùng, khiến bề mặt tấn công kéo dài ngay cả khi đã có phương án thay thế.
Ảnh: Dirk-jan Mollema
Bằng cách thay đổi thông tin tenant (tenant ID hoặc netId) và dùng Actor token do chính mình cấp trong môi trường thử nghiệm, nhà nghiên cứu Mollema chứng minh được khả năng xác thực dưới danh tính bất kỳ người dùng nào trên tenant mục tiêu, kể cả quản trị viên toàn quyền. Hậu quả trực tiếp là quyền cao có thể được cấp mà vẫn hoàn toàn bỏ qua các cơ chế như Conditional Access và xác thực hai yếu tố.
Kẻ xấu còn có khả năng truy xuất dữ liệu người dùng và nội dung từ hộp thư, SharePoint, Teams và các ứng dụng xác thực bằng Entra ID. Hơn nữa, chúng có thể truy cập tài nguyên Azure, ví dụ kho khóa (Key Vault), cơ sở dữ liệu SQL, máy ảo vì quyền quản trị subscription và vai trò được điều khiển ở cấp tenant.
Cuối cùng, kẻ tấn công có thể xóa, mã hóa hoặc đưa dữ liệu ra ngoài mà gần như không để lại dấu vết ở mức API bị lợi dụng, làm cho việc phát hiện và điều tra trở nên rất khó khăn.
Trước hết đội IT cần kiểm tra ngay xem tenant đã nhận bản vá từ Microsoft hoặc đối tác ủy quyền và báo cáo ngắn gọn kết quả lên Ban lãnh đạo. Tiếp đó hãy ưu tiên di cư mọi ứng dụng khỏi Azure AD Graph sang Microsoft Graph, đồng thời xoay vòng toàn bộ credentials và thu hẹp quyền cho service principal theo nguyên tắc tối thiểu. Kích hoạt logging tập trung và cảnh báo tức thì cho các hành vi liên quan quyền cao, rồi tiến hành kiểm tra thực tế để rà soát các đường đi cross-tenant và cấu hình B2B.
Việc vá lỗ hổng chỉ là bước khởi đầu, các tổ chức phải coi mọi kênh nội bộ là không tin cậy và thay đổi cách vận hành để giảm rủi ro lâu dài.
Hệ thống danh tính (identity) như Microsoft Entra ID được coi là "xương sống” cho hàng triệu doanh nghiệp sử dụng Microsoft 365 và Azure. Khi một kẻ xấu có thể mạo danh Global Admin mà không cần vượt qua MFA hay Conditional Access, hậu quả không chỉ là email bị lộ mà đó là toàn bộ hạ tầng, dữ liệu và dịch vụ đám mây có thể rơi vào tay kẻ tấn công.
Nguyên nhân chính khiến lỗ hổng CVE-2025-55241 này tồn tại là vì nhiều thành phần được thiết kế dành riêng cho “nội bộ” nên bị xem nhẹ về mặt an ninh. Mã tác nhân nội bộ vốn được coi là kênh tin cậy giữa các dịch vụ, nên ít được giám sát, không có cơ chế thu hồi tức thì và hầu như không lưu lại nhật ký chi tiết. Đồng thời, nhiều tổ chức vẫn phụ thuộc vào API cũ mà nhà cung cấp đã cảnh báo nên bỏ dùng, khiến bề mặt tấn công kéo dài ngay cả khi đã có phương án thay thế.
Ảnh: Dirk-jan Mollema
Bản chất kỹ thuật
Vấn đề phát sinh từ sự kết hợp của hai yếu tố. Thứ nhất là một loại mã nội bộ gọi là Actor token (mã tác nhân), dùng để cho phép dịch vụ này thay mặt dịch vụ kia hoạt động giữa các hệ thống; thứ hai là một lỗi trong API cũ của Azure AD (Azure AD Graph) khiến API này không kiểm tra cẩn thận nguồn gốc tenant của mã.Bằng cách thay đổi thông tin tenant (tenant ID hoặc netId) và dùng Actor token do chính mình cấp trong môi trường thử nghiệm, nhà nghiên cứu Mollema chứng minh được khả năng xác thực dưới danh tính bất kỳ người dùng nào trên tenant mục tiêu, kể cả quản trị viên toàn quyền. Hậu quả trực tiếp là quyền cao có thể được cấp mà vẫn hoàn toàn bỏ qua các cơ chế như Conditional Access và xác thực hai yếu tố.
Hậu quả khó lường
Nếu bị khai thác thành công, kẻ tấn công có thể chiếm quyền và duy trì truy cập lâu dài. Chúng có thể tạo tài khoản mới, gán quyền hoặc nâng quyền cho nhóm và vai trò để giữ quyền kiểm soát.Kẻ xấu còn có khả năng truy xuất dữ liệu người dùng và nội dung từ hộp thư, SharePoint, Teams và các ứng dụng xác thực bằng Entra ID. Hơn nữa, chúng có thể truy cập tài nguyên Azure, ví dụ kho khóa (Key Vault), cơ sở dữ liệu SQL, máy ảo vì quyền quản trị subscription và vai trò được điều khiển ở cấp tenant.
Cuối cùng, kẻ tấn công có thể xóa, mã hóa hoặc đưa dữ liệu ra ngoài mà gần như không để lại dấu vết ở mức API bị lợi dụng, làm cho việc phát hiện và điều tra trở nên rất khó khăn.
Trước hết đội IT cần kiểm tra ngay xem tenant đã nhận bản vá từ Microsoft hoặc đối tác ủy quyền và báo cáo ngắn gọn kết quả lên Ban lãnh đạo. Tiếp đó hãy ưu tiên di cư mọi ứng dụng khỏi Azure AD Graph sang Microsoft Graph, đồng thời xoay vòng toàn bộ credentials và thu hẹp quyền cho service principal theo nguyên tắc tối thiểu. Kích hoạt logging tập trung và cảnh báo tức thì cho các hành vi liên quan quyền cao, rồi tiến hành kiểm tra thực tế để rà soát các đường đi cross-tenant và cấu hình B2B.
Việc vá lỗ hổng chỉ là bước khởi đầu, các tổ chức phải coi mọi kênh nội bộ là không tin cậy và thay đổi cách vận hành để giảm rủi ro lâu dài.
Theo The Hacker News
Chỉnh sửa lần cuối: