ช่องโหว่วิกฤต! Microsoft Entra ID แฮ็กทุกองค์กร ในคลิกเดียว

มีการค้นพบช่องโหว่ร้ายแรงใน Microsoft Entra ID (Azure Active Directory เดิม) ภายใต้รหัส CVE-2025-55241 ซึ่งเปิดโอกาสให้ผู้โจมตีสามารถแฮ็กและยึดครอง tenant ขององค์กรใดก็ได้ทั่วโลก

โดยช่องโหว่นี้เกิดจากการทำงานร่วมกันของ Actor Tokens ที่ Microsoft ใช้ภายใน ซึ่งไม่ได้ลงนาม มีอายุ 24 ชั่วโมง และยังสามารถข้ามการป้องกันอย่าง MFA หรือ Conditional Access ได้ กับ Azure AD Graph API รุ่นเก่า ที่ตรวจสอบสิทธิ์ไม่รัดกุมจนยอมรับ token ที่สร้างขึ้นจาก tenant อื่นได้

เมื่อผสานกัน ผู้โจมตีจึงสามารถแอบอ้างเป็นผู้ใช้หรือแม้กระทั่ง Global Admin ของเหยื่อได้โดยไม่ถูกบันทึกใน logs ผลที่ตามมาคือมีสิทธิ์เต็มในการอ่าน แก้ไข และควบคุมระบบองค์กรทั้งหมด

ซึ่ง Microsoft ได้รับรายงานในเดือนกรกฎาคม 68 และรีบปล่อยแพตช์ปิดช่องโหว่ พร้อมจำกัดการใช้งาน API เก่า โดยยืนยันว่าไม่พบหลักฐานการโจมตีจริงในโลกภายนอก

อย่างไรก็ตาม องค์กรควรเช็กให้แน่ใจว่าระบบอัปเดตแพตช์แล้ว และเลิกใช้ Azure AD Graph หันไปใช้ Microsoft Graph แทน รวมถึงตรวจสอบสิทธิ์ผู้ดูแลระบบให้รอบคอบ และคอยสังเกตกิจกรรมที่ผิดปกติ เพื่อป้องกันไม่ให้ช่องโหว่เก่าที่หลงเหลืออยู่กลายเป็นความเสี่ยงในอนาคต

ที่มา : The Hacker News