Microsoft Entra ID:n Nested App Authentication -haavoittuvuus mahdollisti kaikkien ehdollisten pääsykäytäntöjen ohittamisen

Byrne havaitsi tässä mekanismissa kriittisen puutteen. Haavoittuvuus koski erityisesti tilanteita, joissa ADIbizaUX-asiakasohjelma – Azure Portalin IAM-hallintakomponentti – välitti välimuistiin tallennetun Azure Portal -päivitystunnuksen pyytääkseen pääsytunnusta Microsoft Graph API:lle . Normaalisti päivitystunnuksen vaihtoon sovelletaan ehdollisen pääsyn arviointia, mutta NetSPI havaitsi, että NAA-vuota käytettäessä ADIbizaUX:n kautta Microsoft Graph -resurssia vastaan ehdollisia pääsykäytäntöjä ei arvioitu lainkaan . Pääsytunnus myönnettiin riippumatta käytäntöjen asetuksista. Kaksi muuta Microsoft Intune -portaalilaajennuksen asiakastunnusta havaittiin myös toteuttavan saman ohituskäyttäytymisen .

Hyökkäysskenaario: Pysyvyys ilman havaitsemista

Hyökkäys vaatii erityisen esiehdon – varastetun Azure Portal -päivitystunnuksen – mutta on erittäin tehokas post-kompromissi pysyvyydelle ja lateraaliselle liikkumiselle . Skenaario etenee neljässä vaiheessa:

1. Alkuperäinen kompromissi: Hyökkääjä varastaa ensin voimassa olevan Azure Portal -päivitystunnuksen, esimerkiksi tietojenkalastelun, välityspalvelinhyökkäysten (AITM) kautta, jotka kohdistuvat login.microsoftonline.com -osoitteeseen, tai muilla tokenien varastamismenetelmillä .
2. Tokenin välittäminen NAA:n kautta: Hyökkääjä käyttää varastettua Azure Portal -päivitystunnusta ja NAA-välitysvuota (ADIbizaUX:n tai Intune-portaalilaajennusten kautta) vaihtaakseen sen hiljaisesti Microsoft Graph -pääsytunnukseksi .
3. Kaikkien suojauksien ohittaminen: Graph-tunnus myönnetään ilman minkään ehdollisen pääsyn arviointia – ei MFA-kehotteita, laiteyhteensopivuustarkistuksia tai sijaintirajoituksia – vaikka nämä käytännöt olisivat aktiivisia .
4. Pysyvyys ja lateraalinen liikkuminen: ADIbizaUX:lla on laajat ennalta hyväksytyt Graph-oikeudet ja se paljastaa dokumentoimattomia APIja käyttäjien, ryhmien, palvelupäämiesten, sovellusten, hakemistojen ja jopa ehdollisten pääsykäytäntöjen hallintaan – kaikki ilman lokitusta, joten toimet jäävät täysin huomaamatta .

Haavoittuvuudella on rajoituksia. Varastetulla Azure Portal -päivitystunnuksella on kiinteä 24 tunnin elinikä eikä sitä voida uusia, mikä rajoittaa pysyvyysikkunaa . Hyökkääjällä on oltava jo uhrin päivitystunnus, joten tämä on post-kompromissi eskalaatio- ja pysyvyystekniikka, ei etäkoodin suoritus . Tästä huolimatta MSRC luokitteli ohituksen keskitasoiseksi .

Microsoftin vastaus: Palvelinpuolen korjaus ilman CVE:tä

NetSPI ilmoitti ongelmasta MSRC:lle 17. maaliskuuta 2026 . MSRC luokitteli sen keskitasoiseksi haavoittuvuudeksi ja toimitti palvelinpuolen korjauksen. Korjauksen jälkeisessä testauksessa varmistettiin, että aiemmin onnistuneet NAA-vuot palauttavat nyt AADSTS53003 -virheitä, kun ehdollista pääsykäytäntöä sovelletaan . Microsoft ei antanut CVE-tunnusta tälle erityiselle ongelmalle, eikä korjaus vaatinut asiakastoimia .

Laajempi konteksti: Kaksi ehdollisen pääsyn ohitusta samana päivänä

22. kesäkuuta 2026 tutkijat julkistivat kaksi erillistä Entra ehdollisen pääsyn ohitusmenetelmää samana päivänä :

Microsoftin laajemmat ehdollisen pääsyn toimeenpanomuutokset vuonna 2026

NAA-ohituksen korjaamisen lisäksi Microsoft on asteittain sulkenut ehdollisen pääsyn toimeenpanoaukkoja vuonna 2026:

• 27. maaliskuuta 2026 – kesäkuu 2026 (vaiheittain): Microsoft muutti sitä, miten ehdollisen pääsyn käytäntöjä, jotka kohdistuvat "Kaikki resurssit", toimeenpannaan, kun näihin käytäntöihin sisältyy resurssipoikkeuksia. Aiemmin kirjautumiset, jotka pyysivät vain perustason OIDC-laaajuuksia (kuten openid, profile, User.Read), saattoivat ohittaa ehdollisen pääsyn kokonaan, jos käytännössä oli jokin resurssipoikkeus. Toimeenpanomuutos varmistaa, että poikkeuksia sisältäviä käytäntöjä arvioidaan silti "Kaikki resurssit" -laajuuden mukaan . Microsoft ilmoitti vaikutetuille vuokralaisille viestikeskuksen kautta (merkintä MC1223829) .

• 15. kesäkuuta 2026: Microsoft aloitti perustason laajuuden valvonnan toimeenpanon erityisesti resurssipoikkeuksen ohitusta varten, sulkien Graph-tunnuksen ohitustien, jonka Dirk-jan Molenaar paljasti .

• 31. maaliskuuta 2026: Microsoft toimeenpani palvelupäämiehittömän todennuksen eläkkeelle siirtymisen muille kuin Microsoftin monivuokralaisille sovelluksille. Kaikkien sovellusten on todennettava rekisteröidyllä palvelupäämiehellä; muuten kirjautumisvuot epäonnistuvat .

• Kesäkuu 2026: Microsoft ilmoitti laajemmista Entra ID -turvallisuuspäivityksistä, mukaan lukien Mukautettujen ohjausobjektien korvaaminen ulkoisella MFA:lla, ehdollisen pääsyn johdonmukainen toimeenpano tunnistetietojen rekisteröinnin aikana ja nimenomaan rekisteröityjen todennusmenetelmien vaatiminen itsepalvelun salasanan palautukselle (SSPR) .

Tärkeimmät opit puolustajille

• NAA-ohitus on korjattu palvelinpuolella. Erillisiä vuokralaispuolen toimia ei tarvita NetSPI:n löydöksen osalta .
• Resurssipoikkeuksen ohitusta varten ota käyttöön perustason laajuuden valvonta -vaihtoehto Entra-hallintakeskuksessa varmistaaksesi ehdollisen pääsyn asianmukaisen arvioinnin .
• Seuraa AADSTS53003-virhekoodia, joka nyt oikein estää luvattomat NAA-pohjaiset token-vaihdot .
• ADIbizaUX:n dokumentoimattomat API:t, jotka voivat toimia ilman lokitusta, ovat edelleen huolenaihe – organisaatioiden tulisi seurata Azure Portal -kirjautumislokeja ja tokenien jakelumalleja tarkasti .
• Palvelupäämiehittömän todennuksen poistuttua 31. maaliskuuta 2026, varmista, että kaikilla monivuokralaisilla sovelluksilla on rekisteröity palvelupäämies .