اگه از سرویس Microsoft Entra ID استفاده میکنین، باید حتماً حواستون رو جمع کنین، چون یه باگ خیلی جدی کشف شده بوده که میتونست حساب هر کسی رو خیلی راحت و بی سر و صدا هک کنه!
خب بذارین براتون قصه رو توضیح بدم؛ یه تیم محقق امنیتی به رهبری Dirk-jan Mollema (که خودش کلی کار عجیب تو دنیای امنیت انجام داده!) فهمیدن یه آسیبپذیری خیلی جدی تو Entra هست که کار هکرها رو حسابی راحت میکرده. این باگ تحت عنوان “CVE-2025-55241” ثبت شده که اگه نمیدونین CVE چیه، باید بگم یک شناسه جهانی برای شناسایی باگها و مشکلات امنیتی تو دنیا هست.
قضیه باگ چیه؟
این مشکل ترکیبی از دو چیز بوده: یکی یه سرویس قدیمی اسمی “actor tokens” (یعنی توکنهای اجرایی، توضیحش پایینتر میاد)، و یکی هم یه باگ ارتقای دسترسی یا همون Elevation of Privilege که نمادش CVE-2025-55241 هست.
Actor tokens چی هستن؟ اینا یه جور توکن تایید هویت بودن (توکن یعنی مجوز موقتی برای ورود به یه سرویس)، که اصلاً مستندسازی نشده بودن و حتی امضا هم نداشتن! این توکنها به وسیله یه سیستم خیلی قدیمی که اسمش Access Control Service یا به اختصار ACS هست، تولید میشدن. قضیه اینا اینه که برای ارتباط بین سرویسها ساخته شدن و کارشون اینه که اجازه بدن یک سرویس به جای یه کاربر دیگه خودش رو جا بزنه. ولی مشکل اینجاست که این توکنها میتونستن امنیت رو دور بزنن و هیچ ردی از خودشون به جا نمیذاشتن، یعنی هیچ گزارش لاگ و ردیاب امنیتی براشون نبود. همینم باعث شده بود دیگه بشه، هر کسی با داشتن اطلاعات tenant ID (یه شماره برای شناسایی شرکتها تو Azure که عمومیه) و netID کاربر (که شناسه فردیه)، بتونه وارد هر اکانتی بشه و براحتی کار کنه!
Mollema خودش تست کرده بود و تونسته بود با ساخت یه توکن جعلی، کاربر توی سازمانهای دیگه رو شبیهسازی کنه و حسابی هر کاری دلش خواسته انجام بده، بدون اینکه حتی کسی بفهمه! مثلاً میتونست کاربر جدید بسازه، رمز کاربرها رو عوض کنه، تنظیمات مهم رو دستکاری کنه و… همه این کارها بدون اینکه هیچ ردپایی توی لاگهای قربانی بمونه.
بعضی از سرویسهایی که این آسیبپذیری روشون جواب میداد، به خاطر استفاده از Azure AD Graph API بودن. شاید بپرسین این چیه؟ Azure AD Graph API یه جور رابط برنامهنویسی قدیمی مایکروسافت بود که به برنامهنویسها اجازه میداد توی اطلاعات Azure یا همون خدمات ابری، خلاقیت به خرج بدن. این سیستم داره کم کم کنار گذاشته میشه (بهش میگن Deprecated یعنی به زودی حذف میشه)، ولی هنوز فعال بود و باگ رو داشت.
این API کلاً حواسش نبوده و با اینکه توکنها متعلق به یه شرکت دیگه بودن، قبولشون میکرد و سیاستهای دسترسی مثل 2 مرحلهای یا چک کردن هویت رو کلاً بیخیال میشد. یعنی حتی سیاستهای Conditional Access (سیاستهای شرطی ورود امن) و Authentication معمولی (یعنی اعتبارسنجی ورود) رو دور میزد!
وقتی این مشکل گزارش داده شده، مایکروسافت خیلی سریع واکنش نشون داد و ظرف دو هفته پچش کرد (یه اصلاحیه امنیتی داد که با نصبش باگ برطرف میشه). شدت این باگ هم رسماً ده از ده اعلام شد که یعنی کاملاً بحرانی. این اصلاحیه تو تاریخ 4 سپتامبر 2025 ارائه شد. ضمناً هم API قدیمی Azure Graph API داره بازنشسته میشه و هم خود Actor token ها به زودی از سیستم حذف میشن و از بین میرن.
پس اگه هنوز سرویسهاتون رو آپدیت نکردین، همین الان یه سر به آپدیتها بزنین و مطمئن بشین آخرین اصلاحیه امنیتی رو نصب کردین.
اگه دنبال امنیت بیشتر هستین، یه سری ابزار و پیشنهاد هم وجود داره؛ مثلاً اپلیکیشنهای تایید هویت (Authenticator Apps) یا نرمافزارهای مدیریت پسورد (Password Manager) که استفاده ازشون خیلی توصیه میشه. اینجوری یه لایه امنیت اضافه هم دارین و خیالتون راحتتره!
خلاصه مراقب باشین و با آپدیت کردن، جلوی هکرها وایسین! 😉
منبع: +
