Sebuah kerentanan keamanan kritis dalam sistem Microsoft Entra ID telah ditemukan yang dapat memungkinkan penyerang untuk mendapatkan akses Global Admin ke tenant mana pun di seluruh dunia menggunakan token Actor. Celah ini merupakan salah satu masalah keamanan cloud paling parah yang pernah diungkapkan, berpotensi mempengaruhi jutaan organisasi yang menggunakan platform identitas Microsoft .
Reaksi Komunitas Menyoroti Tingkat Keparahan dan Kekhawatiran Desain
Komunitas keamanan telah merespons dengan terkejut dan khawatir tentang sifat fundamental dari kerentanan ini. Banyak ahli mempertanyakan apakah ini merupakan cacat desain atau sesuatu yang lebih disengaja. Penemuan ini telah memicu perdebatan sengit tentang arsitektur keamanan sistem identitas cloud yang diandalkan jutaan organisasi setiap hari.
Para ahli teknis telah menunjukkan bahwa token Actor melewati langkah-langkah keamanan kritis seperti kebijakan Conditional Access, yang bertentangan dengan prinsip keamanan dasar. Ini berarti token tersebut dapat beroperasi tanpa pemeriksaan keamanan normal yang diandalkan organisasi untuk melindungi sistem mereka.
Detail Teknis Utama:
- Rentang perbedaan Object ID: 100.000 hingga 150 juta
- Waktu brute force: Menit hingga jam tergantung ukuran tenant
- Panggilan API yang diperlukan per tenant: 2 panggilan
- Pembuatan log audit: Tidak ada selama fase reconnaissance
- Kemampuan bypass: Kebijakan Conditional Access diabaikan
Rantai Serangan Lintas-Tenant Mengeksploitasi Hubungan Kepercayaan B2B
Kerentanan ini menjadi sangat berbahaya ketika dikombinasikan dengan hubungan pengguna tamu Business-to-Business (B2B) antara tenant. Penyerang dapat memulai dengan akses ke hanya satu tenant dan dengan cepat menyebar ke beberapa organisasi dengan mengeksploitasi hubungan kepercayaan yang ada ketika perusahaan mengundang pengguna eksternal.
Serangan ini bekerja dengan membaca informasi pengguna tamu dari satu tenant, kemudian menggunakan data tersebut untuk menyamar sebagai pengguna di organisasi asal mereka. Ini menciptakan efek berantai di mana mengkompromikan satu tenant mengarah ke akses di banyak tenant lainnya. Proses ini hanya memerlukan dua panggilan API per tenant target dan tidak menghasilkan log keamanan, membuat deteksi hampir tidak mungkin.
Keamanan yang begitu lemah, sepertinya Anda menemukan pintu belakang yang disengaja.
Metode Eksploitasi Kepercayaan B2B:
- Melakukan query pengguna tamu dan ID atribut sourceAnchor mereka
- Menentukan ID tenant dari nama domain dalam UPN pengguna
- Membuat token peniruan identitas untuk korban di tenant asal
- Menemukan dan meniru identitas Global Admin untuk kontrol penuh
- Mengulangi proses di seluruh tenant yang baru dikompromikan
 |
|---|
| Visualisasi token Signed Actor yang digunakan dalam serangan lintas-tenant potensial yang mengeksploitasi hubungan B2B |
Metode Brute Force Membuat Tenant Mana Pun Rentan
Bahkan tanpa akses yang ada atau hubungan tamu, penyerang berpotensi dapat mengkompromikan tenant mana pun melalui teknik brute force. Kerentanan ini memungkinkan penebakan sistematis ID objek pengguna, yang dihasilkan secara acak tetapi berada dalam rentang yang dapat diprediksi. Untuk organisasi yang lebih besar dengan lebih banyak pengguna, pendekatan brute force ini menjadi lebih efektif karena ada lebih banyak target potensial yang dapat diserang.
Peneliti menemukan bahwa perbedaan antara ID objek biasanya berkisar dari 100.000 hingga 150 juta, membuat serangan brute force dapat dilakukan dalam hitungan menit hingga jam. Karena upaya ini tidak menghasilkan log audit, organisasi tidak akan memiliki cara untuk mendeteksi aktivitas probing tersebut.
Langkah-langkah Serangan untuk Kompromi Lintas-Tenant:
- Temukan ID tenant korban menggunakan API publik dan nama domain
- Identifikasi ID pengguna yang valid melalui brute force atau hubungan B2B
- Buat token penyamaran menggunakan token Actor penyerang
- Daftarkan Global Admin di tenant target
- Buat token penyamaran untuk akun Global Admin
- Lakukan tindakan tidak sah melalui Azure AD Graph API
Respons Microsoft dan Dampak Industri
Microsoft telah mengakui dan menambal kerentanan ini, meskipun detail tentang pembayaran bug bounty yang potensial masih belum jelas. Waktu respons perusahaan dan ruang lingkup perbaikan kemungkinan akan mempengaruhi bagaimana komunitas keamanan memandang komitmen Microsoft terhadap keamanan cloud ke depannya.
Penemuan ini menimbulkan pertanyaan yang lebih luas tentang desain keamanan sistem identitas cloud. Karena organisasi semakin bergantung pada penyedia identitas berbasis cloud, kerentanan seperti ini menunjukkan skala dampak yang sangat besar ketika asumsi keamanan fundamental terbukti salah.
Token Actor: Token autentikasi khusus yang digunakan secara internal oleh layanan Microsoft untuk melakukan tindakan atas nama aplikasi atau layanan di berbagai tenant.
Hubungan kepercayaan B2B: Kemitraan bisnis yang memungkinkan pengguna dari satu organisasi untuk mengakses sumber daya di tenant organisasi lain sebagai pengguna tamu.
Referensi: One Token to rule them all - obtaining Global Admin in every Entra ID tenant via Actor tokens