คำตอบเผยแพร่แล้วเมื่อวานLast edited เมื่อวาน23 แหล่งที่มา

Microsoft Entra ID โดนเจาะ! ใช้ Nested App Authentication เลี่ยง MFA และนโยบายทั้งหมด

นักวิจัย Thomas Byrne จาก NetSPI ค้นพบว่ากลไก Nested App Authentication (NAA) ของ Microsoft ถูกนำไปใช้ในทางที่ผิด ทำให้แฮกเกอร์สามารถรับโทเค็น Microsoft Graph โดยไม่ผ่านการตรวจสอบนโยบายใดๆ เลย รวมถึง MFA และการตรวจสอบ... ช่องโหว่นี้ถูกใช้หลังจากการประนีประนอมระบบแล้ว โดยผู้โจมตีต้องมี refresh token ของ Azure Portal...

ค้นหาและตรวจสอบข้อเท็จจริงด้วย Studio Global AI ดูหน้าที่กำลังมาแรงเพิ่มเติม

13K0

Conceptual illustration of a locked shield with broken chains and a warning symbol, representing the Microsoft Entra ID Conditional Access bypass vulnerability discovered in Nested — Search & fact-check with cited sources for What was the Microsoft Entra ID vulnerability publicly disclosed by NetSPI researchers, how did iA representation of the Microsoft Entra ID security gap that allowed NAA token brokering to bypass all Conditional Access controls.
AI พรอมต์
Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What was the Microsoft Entra ID vulnerability publicly disclosed by NetSPI researchers, how did i. Article summary: Here is the full fact-checked breakdown of the NetSPI-disclosed Microsoft Entra ID vulnerability, the attack scenario, Microsoft's response, and the broader Conditional Access enforcement changes.. Topic tags: general, general web, user generated. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait th
openai.com

เมื่อวันที่ 22 มิถุนายน 2026 Thomas Byrne นักวิจัยจาก NetSPI ได้เปิดเผยช่องโหว่ในกลไก Nested App Authentication (NAA) หรือที่รู้จักในชื่อ BroCI ซึ่งเป็นส่วนหนึ่งของ Microsoft Entra ID โดยช่องโหว่นี้ทำให้ผู้โจมตีสามารถ ข้ามนโยบายการเข้าถึงแบบมีเงื่อนไข (Conditional Access Policy - CAP) ใดๆ ก็ได้ รวมถึงการยืนยันตัวตนหลายขั้นตอน (MFA) การตรวจสอบความสอดคล้องของอุปกรณ์ และการควบคุมตามตำแหน่งที่ตั้ง Microsoft ได้แก้ไขช่องโหว่นี้ในฝั่งเซิร์ฟเวอร์โดยจัดเป็นปัญหาในระดับความรุนแรงปานกลาง

ช่องโหว่คืออะไร?

Nested App Authentication เป็นกลไก SSO (Single Sign-On) แบบ OAuth ที่ Microsoft ออกแบบมาเพื่อให้แอปพลิเคชัน "เจ้าบ้าน" (host application) เช่น Azure Portal สามารถดำเนินการแลกเปลี่ยนโทเค็นให้กับแอปพลิเคชันย่อย (child applications) ที่ซ้อนกันอยู่ได้โดยไม่ต้องให้ผู้ใช้ยืนยันตัวตนซ้ำ กลไกนี้ทำงานโดยการฝังพารามิเตอร์พิเศษ (brk_client_id, brk_redirect_uri) ลงในคำขอโทเค็น OAuth มาตรฐาน

Byrne ค้นพบว่ากลไกนี้มีจุดบกพร่องร้ายแรง โดยเฉพาะอย่างยิ่งในโฟลว์ที่ ADIbizaUX ซึ่งเป็นคอมโพเนนต์การจัดการ IAM ของ Azure Portal ทำหน้าที่เป็นตัวกลางในการใช้ refresh token ของ Azure Portal ที่ถูกแคชไว้ เพื่อขอ access token สำหรับ Microsoft Graph API โดยปกติการแลกเปลี่ยน refresh token ต้องผ่านการประเมิน Conditional Access แต่ NetSPI พบว่าเมื่อใช้โฟลว์ NAA กับ ADIbizaUX นโยบาย Conditional Access ไม่ได้ถูกประเมินเลย ส่งผลให้มีการออก access token โดยไม่สนใจนโยบายที่กำหนดไว้

วิธีการโจมตี

การโจมตีนี้มีข้อกำหนดเบื้องต้นคือต้องมี refresh token ของ Azure Portal ที่ถูกขโมยมา ซึ่งเป็นกลยุทธ์ที่มีประสิทธิภาพสูงในการคงอยู่และเคลื่อนที่ในระบบหลังจากการประนีประนอม ขั้นตอนมีดังนี้:

การประนีประนอมเบื้องต้น: ผู้โจมตีขโมย refresh token ของ Azure Portal ที่ถูกต้องผ่านฟิชชิ่ง หรือการโจมตีแบบ Adversary-in-the-Middle (AITM)
การใช้ NAA เป็นตัวกลาง: ผู้โจมตีใช้ refresh token ที่ขโมยมาและโฟลว์ NAA (ผ่าน ADIbizaUX หรือส่วนขยาย Intune Portal) เพื่อแลกเปลี่ยนเป็น access token ของ Microsoft Graph
ข้ามการควบคุมทั้งหมด: access token ของ Graph ถูกออก โดยไม่มีการประเมิน Conditional Access ใดๆ ไม่ว่าจะเป็น MFA การตรวจสอบอุปกรณ์ หรือข้อจำกัดด้านตำแหน่งที่ตั้ง
การคงอยู่และเคลื่อนที่ในระบบ: ADIbizaUX มีสิทธิ์ Graph ที่ได้รับการยินยอมไว้ล่วงหน้าอย่างกว้างขวาง และเปิดเผย API ที่ไม่มีเอกสารสำหรับจัดการผู้ใช้ กลุ่ม บริการหลัก แอปพลิเคชัน ไดเรกทอรี และแม้กระทั่งนโยบาย Conditional Access โดย ไม่มีบันทึกใดๆ

ข้อจำกัด: refresh token ของ Azure Portal ที่ถูกขโมยมีอายุการใช้งาน คงที่ 24 ชั่วโมง ดังนั้นช่องโหว่นี้จึงเป็นเทคนิคสำหรับ การยกระดับสิทธิ์และการคงอยู่หลังจากการประนีประนอม เท่านั้น ไม่ใช่ช่องโหว่ที่สามารถโจมตีจากระยะไกลได้

การตอบสนองของ Microsoft

NetSPI รายงานปัญหานี้ต่อ MSRC เมื่อ วันที่ 17 มีนาคม 2026 MSRC จัดเป็นช่องโหว่ระดับความรุนแรงปานกลางและดำเนินการแก้ไขในฝั่งเซิร์ฟเวอร์ หลังจากการแก้ไข โฟลว์ NAA ที่เคยใช้ได้ผลจะส่งคืนข้อผิดพลาด AADSTS53003 ที่ระบุว่าการเข้าถึงถูกบล็อกเมื่อมีการใช้นโยบาย Conditional Access Microsoft ไม่ได้กำหนด CVE สำหรับปัญหานี้

บริบทที่กว้างขึ้น: ช่องโหว่สองรายการในวันเดียวกัน

ในวันที่ 22 มิถุนายน 2026 มีการเปิดเผย ช่องโหว่สองรายการแยกกัน ที่เกี่ยวข้องกับการข้ามนโยบาย Entra Conditional Access :

ช่องโหว่	ที่มา	กลไก	การตอบสนองของ Microsoft
NAA / BroCI bypass	NetSPI (Thomas Byrne)	การใช้ NAA เป็นตัวกลางในการแลกเปลี่ยนโทเค็นผ่าน ADIbizaUX และ Intune portal extensions	MSRC แก้ไขระดับปานกลาง; ตอนนี้ส่งคืน AADSTS53003
Resource exclusion bypass	Dirk-jan Molenaar (dirkjanm.io)	นโยบายที่กำหนดเป้าหมาย "All resources" ที่มีทรัพยากรที่ถูกยกเว้นอย่างน้อยหนึ่งรายการสามารถถูกข้ามได้เพื่อรับโทเค็น Graph โดยใช้เฉพาะขอบเขต OIDC/directory พื้นฐาน	Microsoft รับทราบและเริ่มทยอยบังคับใช้ baseline scope enforcement ตั้งแต่ 15 มิถุนายน 2026; สามารถเลือกรับก่อนกำหนดได้ผ่าน Entra Admin Center

การเปลี่ยนแปลงการบังคับใช้เชิงรุกของ Microsoft ในปี 2026

นอกเหนือจากการแก้ไขช่องโหว่ NAA แล้ว Microsoft ยังได้ค่อยๆ ปิดช่องว่างในการบังคับใช้ Conditional Access ตลอดปี 2026:

27 มีนาคม 2026 – มิถุนายน 2026: Microsoft เปลี่ยนวิธีการบังคับใช้นโยบาย CA ที่กำหนดเป้าหมาย "All resources" เมื่อนโยบายเหล่านั้นรวมถึงการยกเว้นทรัพยากรไว้ด้วย
15 มิถุนายน 2026: Microsoft เริ่มบังคับใช้ baseline scope enforcement สำหรับช่องโหว่ resource exclusion bypass
31 มีนาคม 2026: Microsoft บังคับใช้การยกเลิกการรับรองความถูกต้องโดยไม่มี Service Principal สำหรับแอปพลิเคชันแบบหลายผู้เช่าที่ไม่ใช่ของ Microsoft
มิถุนายน 2026: Microsoft ประกาศอัปเดตความปลอดภัย Entra ID เพิ่มเติม รวมถึงการแทนที่ Custom controls ด้วย External MFA

ข้อควรปฏิบัติสำหรับผู้ดูแลระบบ

ช่องโหว่ NAA ได้รับการแก้ไขในฝั่งเซิร์ฟเวอร์แล้ว ไม่จำเป็นต้องดำเนินการใดๆ ในฝั่งผู้เช่าสำหรับช่องโหว่นี้
สำหรับช่องโหว่ resource exclusion bypass ให้เปิดใช้งานตัวเลือก baseline scope enforcement ใน Entra Admin Center
ติดตามรหัสข้อผิดพลาด AADSTS53003 ซึ่งตอนนี้จะบล็อกการแลกเปลี่ยนโทเค็น NAA ที่ไม่ได้รับอนุญาตอย่างถูกต้อง
API ที่ไม่มีเอกสารของ ADIbizaUX ที่สามารถทำงานได้โดยไม่ต้องบันทึกยังคงเป็นปัญหาที่ต้องเฝ้าระวัง
ตรวจสอบให้แน่ใจว่าแอปพลิเคชันแบบหลายผู้เช่าทั้งหมดมี Service Principal ที่ลงทะเบียนแล้ว เนื่องจากการรับรองความถูกต้องโดยไม่มี Service Principal ถูกยกเลิกไปแล้วตั้งแต่ 31 มีนาคม 2026

Studio Global AI

Search, cite, and publish your own answer

Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.

ค้นหาและตรวจสอบข้อเท็จจริงด้วย Studio Global AI

คนยังถาม

คำตอบสั้น ๆ สำหรับ "Microsoft Entra ID โดนเจาะ! ใช้ Nested App Authentication เลี่ยง MFA และนโยบายทั้งหมด" คืออะไร

ประเด็นสำคัญที่ต้องตรวจสอบก่อนคืออะไร?

ฉันควรทำอย่างไรต่อไปในทางปฏิบัติ?

ในวันเดียวกันที่มีการเปิดเผยช่องโหว่ NAA นักวิจัย Dirk jan Molenaar ก็ได้เปิดเผยอีกหนึ่งช่องโหว่ที่เกี่ยวข้องกับการยกเว้นทรัพยากร ซึ่ง Microsoft ได้เริ่มปิดช่องโหว่นี้ด้วยการบังคับใช้ขอบเขตพื้นฐาน (baseline scope enfo...

แหล่งที่มา

Comments

0 comments

Loading comments...

← Back to Trending