В Банке данных угроз безопасности информации (BDU) зафиксирована новая критическая уязвимость облачной платформы для управления и защиты идентификационных данных Microsoft Entra ID, ранее известной как Azure Active Directory. Проблема получила идентификатор BDU:2026-07699 и соотносится с CVE-2026-42901. Уязвимость связана с недостатками в механизме подтверждения источника данных, что позволяет злоумышленнику, действующему удаленно, повысить свои привилегии.
Детали уязвимости
Суть проблемы кроется в ошибке, классифицированной как CWE-346 - недостаточная проверка источника данных. Простыми словами, платформа некорректно проверяет, откуда именно поступают запросы. Это дает возможность атакующему подменить легитимный источник данных и получить доступ к ресурсам, которые должны быть защищены. Поскольку Microsoft Entra ID является центральным элементом инфраструктуры многих организаций, последствия такой атаки могут быть крайне серьезными.
Уровень опасности уязвимости признан критическим. По шкале CVSS 2.0 базовая оценка составляет максимальные 10 баллов. Версия 3.1 также оценивает проблему в 10 баллов. Вектор атаки выглядит следующим образом: AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H. Это означает, что для эксплуатации злоумышленнику не нужен доступ к локальной сети, не требуются сложные условия атаки, не нужна аутентификация и не требуется взаимодействие с пользователем. При этом атака может повлиять на другие компоненты системы, а последствия включают полную компрометацию конфиденциальности, целостности и доступности данных.
Способ эксплуатации классифицируется как подмена при взаимодействии. Злоумышленник может отправлять специально сформированные запросы, которые система воспринимает как доверенные. В результате нарушитель получает возможность выполнять действия от имени привилегированных пользователей или администраторов. Учитывая, что Entra ID используется для управления доступом к тысячам корпоративных приложений и ресурсов, повышение привилегий может привести к полному захвату инфраструктуры жертвы.
Хорошая новость заключается в том, что Microsoft оперативно отреагировала на проблему. Уязвимость уже подтверждена производителем, выпущено обновление программного обеспечения, и в официальном руководстве по обновлениям указано, что проблема устранена. Сведения о наличии готового эксплойта пока уточняются.
Для специалистов по информационной безопасности это сигнал к немедленным действиям. В первую очередь необходимо установить обновление, выпущенное Microsoft. Ссылка на рекомендации производителя доступна по адресу msrc.microsoft.com. Но важно понимать: патч может быть лишь частью защиты. Уязвимость затрагивает архитектурные особенности платформы, поэтому после обновления стоит провести аудит настроек безопасности - особенно тех, что связаны с проверкой источников данных и механизмами аутентификации.
Кроме того, рекомендуется усилить мониторинг подозрительной активности в среде Microsoft Entra ID. Обратите внимание на необычные попытки входа, изменения прав доступа и запросы к чувствительным данным. Использование решений класса SIEM может помочь выявить аномалии на ранних этапах. Хотя уязвимость уже закрыта, злоумышленники могли успеть создать закладки или вредоносные учетные записи до установки обновления.
Стоит подчеркнуть, что в данном случае речь идет не о программном баге, а об ошибке архитектуры. Это означает, что исправление могло потребовать изменения логики работы целых модулей, а не просто исправления строки кода. Поэтому патч может быть достаточно объемным, и его установку не стоит откладывать.
Владельцам бизнеса и руководителям ИТ-отделов важно понимать: Microsoft Entra ID - это не просто сервис для входа в системы. Это ядро управления доступом, которое связывает пользователей, приложения и данные. Если злоумышленник получает контроль над этой платформой, он может обойти все остальные средства защиты. Именно поэтому уязвимости такого класса считаются особенно опасными и требуют немедленного реагирования.
Резюмируя: критическая уязвимость в Microsoft Entra ID уже устранена производителем, но ответственность за установку обновления лежит на пользователях. Каждая организация, использующая эту платформу, должна проверить, применен ли патч. Помимо этого, стоит пересмотреть политики безопасности и усилить мониторинг. В текущих условиях, когда атаки становятся все более изощренными, только комплексный подход к защите может минимизировать риски. Игнорирование таких угроз чревато серьезными последствиями, которые могут затронуть не только ИТ-инфраструктуру, но и бизнес в целом.
Ссылки
- https://bdu.fstec.ru/vul/2026-07699
- https://www.cve.org/CVERecord?id=CVE-2026-42901
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-42901
