Forscher sagen, Microsoft Entra Design ermöglicht Gastbenutzern die Kontrolle über Azure

Cybersicherheitsforscher von BeyondTrust warnen vor einem wenig bekannten, aber gefährlichen Problem in Microsofts Identitätsplattform Entra . Es handelt sich nicht um einen versteckten Fehler oder eine übersehene Schwachstelle, sondern um eine Funktion, die von vornherein in das System integriert ist und von Angreifern ausgenutzt werden kann.

Das Problem besteht darin, dass Gastbenutzer, die in den Azure- Mandanten einer Organisation eingeladen werden, Abonnements innerhalb dieses Mandanten erstellen und übertragen können, ohne dort über direkte Administratorrechte zu verfügen. Sobald sie dies tun, erhalten sie Besitzerrechte für das Abonnement, was eine Reihe überraschender Angriffsmöglichkeiten eröffnet, die viele Azure-Administratoren möglicherweise nie in Betracht gezogen hätten.

Unternehmen laden externe Partner oder Mitarbeiter häufig als „Gastnutzer“ in ihre Azure-Umgebungen ein. Normalerweise erhalten diese Gäste nur eingeschränkten Zugriff, um Schäden im Falle einer Kompromittierung ihrer Konten zu vermeiden. Die von BeyondTrust mit Hackread.com geteilten Ergebnisse zeigen jedoch, dass diese Gäste unter bestimmten Bedingungen ganze Azure-Abonnements innerhalb des Host-Tenants aktivieren können, selbst ohne explizite Berechtigungen in dieser Umgebung.

Wie? Das hängt ganz von den Abrechnungsberechtigungen von Microsoft ab. Wenn der Gast in seinem Home-Tenant über bestimmte Abrechnungsrollen verfügt (z. B. ein kostenloses Testkonto erstellt hat), kann er diese Berechtigung nutzen, um Abonnements zu erstellen und diese anschließend in jeden anderen Tenant zu verschieben, zu dem er eingeladen wird. Dadurch wird er zum „Eigentümer“ dieser Abonnements und erhält umfassende Kontrolle über die Ressourcen innerhalb des Zieltenants.

Microsoft hat bestätigt, dass dies beabsichtigt ist. Die Abonnements verbleiben auf der Rechnung des Gastes und es gibt bereits vorhandene (aber nicht standardmäßige) Kontrollmechanismen, um solche Übertragungen zu verhindern. Die Sicherheitsrisiken sind jedoch erheblich.

Sobald ein Gast Abonnementbesitzer in Ihrem Azure-Mandanten wird, stehen ihm verschiedene erweiterte Funktionen zur Verfügung, darunter die Identifizierung der wirklich Verantwortlichen, die Deaktivierung der Sicherheitsüberwachung, die Erstellung dauerhafter Hintertüren und der Missbrauch des Gerätevertrauens.

Diese Angriffspfade existieren, weil Abrechnungsrollen und Ressourcenberechtigungen auf unterschiedlichen Wegen operieren, wodurch eine Überschneidung entsteht, die von typischen rollenbasierten Zugriffskontrollmodellen (RBAC) nicht abgedeckt wird.

Forscher von BeyondTrust haben gezeigt, wie ein Angreifer dieses Problem in der Praxis ausnutzen kann. Ein Angreifer könnte zunächst einen eigenen Azure-Tenant mit einer kostenlosen Testversion einrichten, der ihm automatisch die Abrechnungsberechtigung erteilt.

Sobald sie als Gast zu einem Zielmandanten eingeladen sind, können sie sich im Azure-Portal anmelden und mithilfe der erweiterten Einstellungen ein neues Abonnement erstellen und den Zielmandanten als Ziel auswählen. Ohne die Administratorgenehmigung dieses Mandanten zu benötigen, erhält der Angreifer vollen Besitzerzugriff auf das neue Abonnement und öffnet so die Tür für den Missbrauch von Berechtigungen.

Die von Microsoft hier geschaffene Funktion ist sinnvoll: Manche Organisationen haben viele Mandanten, und es gibt Anwendungsfälle, in denen Benutzer mit einem Stammverzeichnis Abonnements in anderen Verzeichnissen erstellen müssen, in denen sie lediglich als Gast angemeldet sind. Das Problem liegt im Standardverhalten: Wäre diese Funktion optional, d. h. Gäste könnten standardmäßig keine Abonnements erstellen, wäre das Risiko erheblich geringer und es würde kein Sicherheitsrisiko darstellen.

Simon Maxwell-Stewart, Senior Data Engineer – BeyondTrust

Microsoft hat erklärt, dass dies beabsichtigt ist und komplexe Multi-Tenant-Konfigurationen unterstützen soll, in denen Gäste manchmal Ressourcen erstellen müssen. Microsoft bietet Abonnementrichtlinien an, die diese Übertragungen blockieren können. Diese Kontrollen sind jedoch standardmäßig deaktiviert.

Für Cybersicherheitsteams bedeutet dies, dass das Risiko bestehen bleibt, bis sie klare Maßnahmen ergreifen. BeyondTrust empfiehlt mehrere wichtige Schritte zur Risikominderung. Dazu gehören die Aktivierung von Abonnementrichtlinien, die gastgeführte Übertragungen blockieren, die regelmäßige Überprüfung von Gastkonten und die Löschung ungenutzter oder unnötiger Konten.

Um zu verhindern, dass Angreifer virtuelle Maschinen oder Geräte für weitere Angriffe verwenden, überwachen Sie Abonnements genau auf ungewöhnliche oder unerwartete von Gästen erstellte Ressourcen und überprüfen Sie sorgfältig die Regeln für dynamische Gruppen und Richtlinien zur Gerätevertrauenswürdigkeit.