Голландец Дирк-джан обнаружил уязвимость безопасности Microsoft

«Я смотрел на экран и думал: «Этого не может быть. Это не может работать…»

Поначалу Дирк-джан Моллема осознаёт всю серьёзность обнаруженной им ошибки, но потом его охватывает серьёзность. «Я вообще не хочу иметь возможность заниматься подобными делами; я не хочу брать на себя такую ​​ответственность».

Уязвимость, обнаруженная Моллемой, связана с сервисом Microsoft Entra ID. Это так называемый сервис аутентификации, используемый для входа в другие продукты Microsoft, включая облачный сервис Azure и офисный пакет Microsoft 365.

Моллема нашёл новый способ входа в систему и выполнения действий от имени других пользователей. «На самом деле он был предназначен для внутреннего использования самой Microsoft. Но я тоже мог бы им воспользоваться».

И этот метод входа имел существенный недостаток: он не проверял, действительно ли вам нужен доступ к системе. Таким образом, хакер мог получить доступ к системам Microsoft любой компании.

«Тогда можно, например, увидеть, кто там работает и какие у них данные», — говорит Моллема. «И всё это, не оставляя никаких следов».

Хуже того: хакер может назначить себя администратором и вносить всевозможные изменения. «Тогда другие администраторы увидят, что появился новый пользователь, так что это не происходит тайно», — говорит Моллема. Но таким образом хакер может получить доступ ко всем электронным письмам и файлам компании. «А значит, и ко всем видам персональных данных».

В видео ниже технический репортер Воутер ван Дейк объясняет последствия ошибки в Microsoft:

Когда Моллема обнаружил ошибку, он немедленно сообщил об этом в Microsoft. «Думаю, это самый быстрый отчёт, который я когда-либо писал. Я сразу понял: это нужно исправить как можно скорее. Поэтому я сообщил об этом в течение двух часов».

Microsoft также отнеслась к отчёту очень серьёзно. «Они устранили проблему в рекордные сроки. В конечном итоге, они развернули решение по всему миру в течение трёх дней. Это очень быстро для такой крупной компании, как Microsoft».

Серьезность ситуации также очевидна из предупреждения Microsoft, в котором ошибка оценивается по максимальной шкале — 10.

Любой, кто обнаружит уязвимость безопасности и сообщит о ней в Microsoft, может рассчитывать на вознаграждение. Эти так называемые «баунти» за обнаружение уязвимостей могут достигать не менее 100 000 долларов США (85 000 евро). Моллема отказался сообщить, сколько Microsoft ему заплатила. «Но у них определённо есть « баунти» за обнаружение уязвимостей». данный."

Благодаря отчёту Моллемы Microsoft смогла быстро устранить уязвимость. Похоже, что другие не обнаружили эту же проблему или даже не воспользовались ей. Моллема: «Microsoft исследовала этот вопрос и заявила, что не обнаружила никаких злоупотреблений. Полагаю, это правда. Но никогда нельзя быть в этом полностью уверенным».

Компаниям, пользующимся сервисами Microsoft, теперь не о чем беспокоиться, говорит Моллема. «Эта проблема действительно возникла по вине Microsoft. Мы, как компания, ничего не могли с этим поделать. По сути, компаниям не нужно предпринимать никаких действий, поскольку Microsoft уже исправила эту проблему».

Последствия взлома могут быть значительными. В этом видео она объясняет, как произошла утечка данных Сандры из медицинской лаборатории: