Исследователь обнаружил критические уязвимости в системах крупнейшего индийского автопроизводителя Tata Motors. Два открытых ключа AWS на публичных сайтах позволили получить доступ к более чем 70 ТБ чувствительных данных. На сайте E-Dukaan (маркетплейс запчастей) ключи были в открытом виде, раскрывая базы данных клиентов, финансовые отчеты и административные документы. На платформе FleetEdge ключи были зашифрованы, но легко расшифрованы на стороне клиента для загрузки всего 4 КБ налоговых кодов.

Также были найдены серьезные проблемы безопасности в системе Tableau с бэкдором, позволявшим входить без пароля от имени любого пользователя, включая администратора, и скомпрометированный ключ API Azuga, затронувший систему управления тестовым автопарком. Все уязвимости были исправлены, и данных не было похищено. Tata Motors, несмотря на статус крупнейшего автопроизводителя Индии, остается малоизвестным в США.

• Tata Motors, TCS и другие компании группы Tata оказались в центре скандала из-за утечки ключей AWS, что, по слухам, могла стоить экономике Великобритании 2.5 млрд фунтов.
• Проблема в том, что ключи были в открытом доступе на сайтах этих компаний, и, несмотря на то, что их обнаружили и сообщили о них, Tata Motors не проявила никакой инициативы по их отзыву до тех пор, пока не прошло 3 месяца.
• В обсуждении также поднимается вопрос о том, что в Индии в целом и в компаниях Tata в частности культура безопасности оставляет желать лучшего.
• Кроме того, обсуждается влияние этой ситуации на восприятие Индийских компаний в технологическом секторе и на рынке труда.

• Во время сбоя AWS вчерашний день несколько человек сообщили, что их консоль внезапно переключилась на другой аккаунт, что вызвало обеспокоенность о возможном компромете учетных данных.
• Участники обсуждения отметили, что в подобных случаях злоумышленник может ждать удобного момента, чтобы скрыть свои действия в шуме, вызванном сбоем.
• Были упомянуты прецеденты, когда вредоносное ПО или фишинговые атаки используются в подобных ситуациях.
• Также было отмечено, что AWS, как и другие провайдеры, имеет инструменты для проверки и предотвращения подобных инцидентов.

Предоставленный текст содержит только навигационную структуру сайта CSO Online, а не саму статью о кибератаке. Судя по заголовку, речь идет о взломе американского ядерного объекта иностранными хакерами через уязвимости в SharePoint. Вероятно, в статье подробно описаны детали инцидента, включая то, как злоумышленники использовали недостатки в популярной платформе Microsoft для проникновения в критически важную инфраструктуру. Без доступа к полному тексту невозможно предоставить точный пересказ с ключевыми фактами, цифрами или цитатами.

• Обсуждение в основном вращается вокруг критики Microsoft-стека, но при этом поднимаются вопросы безопасности, ответственности вендора и даже культуры найма в целом.
• Участники обмениваются личными историями, где Microsoft-ориентированные компании отвергают кандидатов только за то, что те используют их продукты.
• Некоторые комментаторы утверждают, что использование Microsoft-стека само по себе является показателем плохой ИТ-культуры в компании.
• Другие спорят, что важно различать использование продуктов и саму культуру найма и отношение к сотрудникам.
• Обсуждение также затрагивает вопросы национальной безопасности, критикуя использование облачных сервисов и вендор лок-ина.

Один токен, чтобы править всеми: получение прав глобального администратора в каждом клиенте Entra ID через Actor-токены

Во время подготовки к выступлениям на Black Hat и DEF CON в июле этого года я обнаружил самую серьёзную уязвимость в Entra ID, которую мне, вероятно, доведётся найти. Она позволяла скомпрометировать любого клиента Entra ID в мире (за исключением национальных облачных развёртываний). Уязвимость состояла из двух компонентов: недокументированных токенов олицетворения (Actor-токенов), используемых Microsoft для внутреннего межсервисного взаимодействия, и критической ошибки в устаревшем API Azure AD Graph, которая позволяла использовать эти токены для межклиентского доступа.

С помощью токена, полученного в моём тестовом клиенте, я мог аутентифицироваться от имени любого пользователя, включая глобальных администраторов, в любом другом клиенте. Actor-токены не подчиняются политикам безопасности вроде Conditional Access, поэтому не существовало настроек, способных смягчить угрозу. Доступ к API Azure AD Graph позволял вносить любые изменения в клиенте, которые доступны глобальным администраторам, включая создание новых учётных записей с любыми правами.

Я сообщил об уязвимости в MSRC в тот же день. Microsoft исправила её в течение нескольких дней и выпустила CVE-2025-55241.

Влияние

Токены предоставляли полный доступ к API Azure AD Graph в любом клиенте. Их запрос не оставлял журналов, а в целевом клиенте не было записей о существовании таких токенов. API Azure AD Graph не имеет журналирования на уровне API, поэтому следующие данные могли быть доступны без следов:

• Информация о пользователях, включая личные данные.
• Сведения о группах и ролях.
• Настройки клиента и политики.
• Данные приложений и сервисных субъектов.
• Информация об устройствах и ключах BitLocker.

При олицетворении глобального администратора можно было изменять любые объекты и настройки, что вело к полной компрометации клиента и доступу к таким службам, как SharePoint Online и Exchange Online, а также к ресурсам Azure. Хотя модификация объектов обычно оставляет журналы аудита, действия выглядели бы как легитимные действия администратора.

По данным телеметрии Microsoft, злоупотреблений этой уязвимостью обнаружено не было. Для поиска возможных артефактов злоупотребления в конце поста приведено KQL-правило.

Технические детали

Actor-токены выпускаются службой «Access Control Service» — устаревшим сервисом, используемым для аутентификации в приложениях SharePoint и внутренних службах Microsoft. Я обнаружил его при исследовании гибридных настроек Exchange, которые ранее использовали сертификаты для аутентификации Exchange Online.

• Обсуждение уязвимости в Entra ID, позволяющей обход проверок и несанкционированный доступ к данным других тенантов.
• Критика сложности атаки (CVSS: High) как завышенной, учитывая, что для эксплуатации требуются лишь базовые знания Entra ID.
• Указание на системную проблему Microsoft: наслоение нового кода на устаревшие API без должного тестирования их взаимодействия.
• Сравнение уязвимости с ранее известными инцидентами безопасности в продуктах Microsoft и мнение о слабой безопасности системы.
• Обсуждение проблем дизайна Entra ID: сложность создания тенанта, путаница с типами учетных записей и устаревшая документация.
• Критика использования долгоживущих токенов с широкими правами (Actor tokens), игнорирующих политики безопасности.
• Замечание о том, что корпоративные клиенты вынуждают Microsoft поддерживать устаревший код, усугубляя проблемы безопасности.

Инсайдер: команда DOGE подвергла уязвимости данные SSA
Информатор Charles Borges, главный специалист по данным SSA, сообщил, что в июне члены «Департамента эффективности» (DOGE) загрузили копию критически важной базы Social Security на незащищённый облачный сервер. В массиве — имена, адреса, даты рождения и SSN 300 млн американцев. Доступ требовали сразу после инаугурации Трампа; временная глава SSA Мишель Кинг отказалась и ушла в отставку. Утечка может привести к массовому кражеству личности.

• Утечка SSN вынудит США выдавать новые идентификаторы и перестраивать госсистемы с нуля.
• Участники считают, что истинная цель DOGE — не экономия, а разрушение институтов.
• Предлагают отказаться от SSN как идентификатора и ввести «федеральный ID» для получения льгот.
• Некоторые шутят о «печати зверя» и радуются, что живут вне США.