เมื่อช่วงกลางปีที่ผ่านมาไมโครซอฟท์รายงานถึงเหตุข้อมูลรั่วไหลครั้งรุนแรงเพราะแฮกเกอร์แฮกกุญแจของ Azure AD ได้สำเร็จ ทำให้สามารถปลอมเป็นผู้ใช้คนใดก็ได้ใน Azure AD ทั้งหมดโดยไมโครซอฟท์ระบุว่ายังหาช่องทางที่กุญแจรั่วไหลไม่พบ แต่ล่าสุดก็ออกรายงานมาว่าพบช่องทางที่เป็นไปได้แล้ว

รายงานระบุว่าเซิร์ฟเวอร์ Azure AD เคยแครชไปครั้งหนึ่งเมื่อเดือนเมษายน 2021 ระบบดีบั๊กจึงส่งไฟล์ crash dump ไปยังระบบดีบั๊ก ซึ่งโดยทั่วไปแล้วไฟล์ dump ไม่ควรมีกุญแจติดไปด้วยแต่ก็มีความผิดพลาดจนกุญแจหลุดไปจนถึงระบบดีบั๊ก และวางอยู่เช่นนั้น

หลังกจากนั้นกลุ่ม Storm-0558 ก็แฮกบัญชีวิศวกรคนหนึ่งของไมโครซอฟท์ได้ โดยวิศวกรคนนี้มีสิทธิ์เข้าถึงระบบดีบั๊กทำให้สามารถอ่านไฟล์ dump นี้ได้ อย่างไรก็ดีไมโครซอฟท์ไม่มี log ชัดเจนว่าคนร้ายเข้ามาค้นเอากุญแจไปได้อย่างไร

อีกปัญหาคือกุญแจที่หลุดออกไปเป็น Azure AD ฝั่งผู้ใช้ทั่วไป (consumer) ซึ่งไม่ควรใช้ปลอมตัวเป็นผู้ใช้ฝั่งองค์กรได้เนื่องจากแยกกุญแจกันมาตั้งแต่ปี 2018 แต่ไลบรารีสำหรับตรวจสอบลายเซ็นดิจิทัลกลับยังไม่ได้แยก ทำให้การตรวจล็อกอินนั้นยอมให้กุญแจฝั่งผู้ใช้ทั่วไปเซ็นยืนยันตัวตนผู้ใช้ฝั่งองค์กรได้ด้วย

ไมโครซอฟท์รายงานถึงความผิดพลาดทั้งหมดที่ทำให้แฮกเกอร์ได้กุญแจไปครั้งนี้พร้อมกับยืนยันว่าได้แก้ไขทั้งหมดแล้ว

ที่มา - Microsoft MSRC