A nova funcionalidade de Sincronização entre locatários do Azure Active Directory (CTS) da Microsoft, apresentada em junho de 2023, criou uma nova possível superfície de ataque que pode permitir que atores de ameaças se espalhem mais facilmente para outros locatários do Azure.
Os locatários da Microsoft são organizações de clientes ou suborganizações no Azure Active Directory que são configuradas com suas próprias políticas, usuários e configurações.
No entanto, como grandes organizações podem ser divididas em vários locatários para fins organizacionais, às vezes pode ser mais fácil permitir que os usuários sincronizem entre locatários autorizados controlados pela mesma entidade.
Em junho, a Microsoft introduziu um novo recurso de Sincronização entre locatários (CTS) que permite que um administrador sincronize usuários e grupos em vários locatários e recursos de locatários, oferecendo colaboração contínua, automatizando o gerenciamento do ciclo de vida de projetos B2B, etc.
Ao configurar o CTS, um locatários 'fonte' do Azure será sincronizado com um locatários 'alvo', onde os usuários da fonte podem ser automaticamente sincronizados para o locatários alvo.
Ao sincronizar usuários, o usuário é apenas empurrado da fonte e não puxado do alvo, tornando esta uma sincronização unidirecional.
No entanto, se configurado de maneira inadequada, os invasores que já comprometeram um locatários e obtiveram privilégios elevados podem explorar o novo recurso para se mover lateralmente para outros locatários conectados e, em seguida, implantar configurações CTS desonestas para estabelecer persistência nessas redes.
Essa superfície de ataque foi previamente descrita pela Invictus, cujo relatório se concentra principalmente na detecção de atores de ameaças abusando deste recurso.
Em um relatório publicado ontem, a empresa de cibersegurança Vectra detalha como os atores de ameaças podem abusar deste recurso para se espalhar lateralmente para locatários ligados ou até mesmo usar este recurso para persistência.
No entanto, eles também alertam que abusar deste recurso requer que um ator de ameaça primeiro comprometa uma conta privilegiada ou obtenha escalada de privilégios em um ambiente de nuvem da Microsoft violado.
"Não observamos o uso dessa técnica, mas dada a exploração histórica de funcionalidades semelhantes - apresentamos detalhes para os defensores entenderem como o ataque seria apresentado e como monitorar sua execução", explica Vectra em seu relatório.
A primeira técnica descrita no relatório da Vectra envolve revisar as configurações do CTS para identificar locatários alvo conectados através dessas políticas e, especificamente, procurar locatários com 'Sincronização de Saída' habilitada, que permite a sincronização com outros locatários.
Após encontrar um locatários que atende a esses critérios, o invasor localiza o aplicativo usado para a sincronização do CTS e modifica sua configuração para adicionar o usuário comprometido em seu escopo de sincronização, obtendo acesso à rede do outro locatários.
Isso permite que o ator de ameaças alcance o movimento lateral sem a necessidade de novas credenciais de usuário.
A segunda técnica apresentada pela Vectra envolve a implantação de uma configuração CTS desonesta para manter o acesso persistente aos locatários alvo.
Mais uma vez, é preciso observar que este método requer que um ator de ameaça já tenha comprometido uma conta privilegiada no locatários.
Especificamente, o invasor implanta uma nova política CTS e habilita 'Sincronização de Entrada' e 'Consentimento Automático do Usuário', permitindo que eles empurrem novos usuários de seu locatários externo para o alvo a qualquer momento.
Esta configuração concede ao atacante acesso ao locatários alvo a qualquer momento por meio da conta externa.
Mesmo que as contas desonestas sejam removidas, o invasor pode criar e "empurrar" novos usuários à vontade, obtendo acesso imediato aos recursos do locatários alvo, daí o motivo pelo qual a Vectra chama isso de "backdoor".
Embora nenhum ataque conhecido tenha abusado desse recurso, a Vectra oferece orientações sobre como endurecer sua configuração para impedir que o recurso seja abusado.
A Vectra propõe que os locatários alvo CTS devem evitar a implementação de uma configuração de CTA de entrada padrão ou excessivamente inclusiva e, se possível, definir limites sobre quais usuários e grupos podem acessar seus ambientes de nuvem.
Os locatários fonte do CTS que atuam como os pontos de violação iniciais devem monitorar todos os usuários privilegiados quanto a atividades suspeitas.
O relatório da Invictus fornece informações detalhadas sobre como a atividade do CTS é registrada, permitindo que os administradores detectem comportamento mal-intencionado.
A BleepingComputer entrou em contato com a Microsoft com perguntas sobre o relatório, mas eles se recusaram a comentar.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...