В Банке данных угроз безопасности информации (BDU) зарегистрирована уязвимость с идентификатором BDU:2026-06838, затрагивающая облачную платформу управления и защиты идентификационных данных Microsoft Entra ID. Эксперты присвоили ей максимально возможный уровень опасности - 10 баллов по шкале CVSS 3.1. Это означает, что атака может быть проведена удалённо, без аутентификации и с полным компрометирующим эффектом.
Детали уязвимости
Суть проблемы кроется в недостаточной проверке входящих запросов на стороне сервера. Речь идёт об ошибке типа CWE-918 - серверная фальсификация запросов, или SSRF (атака, при которой злоумышленник заставляет сервер отправлять HTTP-запросы к внутренним ресурсам, недоступным извне). Используя эту уязвимость, нарушитель может подменить легитимный источник данных и выдать себя за доверенное лицо или систему. Фактически, эксплуатация позволяет проводить спуфинг-атаки - подмену данных при взаимодействии между компонентами облачной инфраструктуры.
Уязвимость затрагивает все версии Microsoft Entra ID. Производитель уже подтвердил её наличие и выпустил обновление. Соответствующая рекомендация опубликована в бюллетене безопасности Microsoft с CVE-идентификатором CVE-2026-35431. Специалистам настоятельно рекомендуют установить патч в кратчайшие сроки, так как сведения о наличии эксплойта пока уточняются, но при столь высокой оценке риска злоумышленники могут быстро разработать рабочий инструмент атаки.
Почему эта уязвимость столь опасна? Microsoft Entra ID - это ключевой элемент аутентификации и авторизации в корпоративной среде. Он управляет доступом к сотням облачных сервисов, включая Microsoft 365, Dynamics 365, Azure и множество сторонних приложений. Компрометация Entra ID означает, что злоумышленник может получить контроль над учётными записями сотрудников, административными панелями, а затем перемещаться внутри сети, похищать данные, нарушать бизнес-процессы.
Тип ошибки - серверная фальсификация запросов - даёт возможность обойти межсетевые экраны и политики сегментации. Вместо того чтобы атаковать конечного пользователя, злоумышленник использует сам сервер как прокси. Это позволяет достичь внутренних ресурсов, которые обычно не видны из интернета: баз данных, сервисов конфигурации. В связке с подменой взаимодействия атакующий может, например, заставить сервер аутентификации выдать токен доступа от имени другого пользователя.
Для бизнеса последствия такой утечки могут быть катастрофическими. Представьте, что злоумышленник получает доступ к панели управления всей корпоративной идентификацией. Он может создавать учётные записи, менять права, блокировать настоящих сотрудников, читать корпоративную почту, внедрять вредоносное ПО в автоматизированные процессы. Восстановление после такой атаки потребует не только перевыпуска всех паролей, но и полного аудита всех изменений в облачной инфраструктуре.
Хорошая новость в том, что Microsoft уже выпустила патч. Специалистам по безопасности следует немедленно проверить наличие обновления для всех экземпляров Entra ID, используемых в организации. Даже если патч не является обязательным для текущей версии, его установка должна быть приоритетом. Кроме того, стоит усилить мониторинг логов аутентификации на предмет аномальных запросов: сканирования внутренних IP-адресов, необычных времени входа, массовых попыток сброса пароля.
Отдельно стоит отметить, что уязвимость зафиксирована с максимальной оценкой 10 баллов только второй раз за последние три года для продуктов Microsoft в реестре BDU. Предыдущая аналогичная оценка относилась к уязвимости в сервере Exchange, что привело к массовым атакам. Хотя в данном случае имеется официальное обновление, риск остаётся высоким до тех пор, пока все клиенты не установят патч.
Для обычного пользователя облачных сервисов Microsoft эта новость не должна вызывать паники - ответственность за обновление ложится на ИТ-отделы компаний. Однако пользователям стоит быть внимательными: если вы заметили, что корпоративные приложения начали вести себя необычно, требуют повторного входа или запрашивают нестандартные разрешения, немедленно сообщите администратору.
В ближайшие дни следует ожидать появления технических статей от исследователей безопасности с деталями эксплуатации. Пока производитель подтвердил уязвимость и устранил её, но не раскрыл технические подробности, чтобы дать клиентам время на обновление. Специалистам по кибербезопасности рекомендуется подписаться на обновления портала MSRC (Microsoft Security Response Center) и включить автоматическое применение критических патчей для Entra ID в клиенте Azure.
Таким образом, обнаруженная уязвимость - серьёзный звонок для всех, кто полагается на облачную идентификацию. Она напоминает, что даже платформы с многолетней репутацией могут содержать критические ошибки, и своевременное обновление остаётся основным - а в данном случае и единственным - способом защиты.
Ссылки
- https://bdu.fstec.ru/vul/2026-06838
- https://www.cve.org/CVERecord?id=CVE-2026-35431
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-35431
