Onderzoekers zeggen dat het ontwerp van Microsoft Entra gastgebruikers controle geeft over Azure

Cybersecurityonderzoekers van BeyondTrust waarschuwen voor een weinig bekend maar gevaarlijk probleem binnen Microsofts Entra- identiteitsplatform. Het probleem is geen verborgen bug of over het hoofd geziene kwetsbaarheid; het is een functie die standaard in het systeem is ingebouwd en die aanvallers kunnen misbruiken.

Het probleem is dat gastgebruikers die zijn uitgenodigd voor de Azure- tenant van een organisatie abonnementen binnen die tenant kunnen maken en overdragen zonder dat ze daar directe beheerdersrechten hebben. Zodra ze dat doen, krijgen ze 'Eigenaar'-rechten voor dat abonnement, wat een verrassende reeks aanvalsmogelijkheden opent waar veel Azure-beheerders misschien nog nooit aan hebben gedacht.

Organisaties nodigen vaak externe partners of medewerkers uit in hun Azure-omgevingen als 'gastgebruikers'. Deze gasten krijgen doorgaans beperkte toegang om schade te voorkomen als hun accounts worden gehackt. De bevindingen van BeyondTrust, die met Hackread.com zijn gedeeld, laten echter zien dat deze gasten onder bepaalde omstandigheden volledige Azure-abonnementen binnen de hosttenant kunnen opstarten, zelfs zonder expliciete machtigingen in die omgeving.

Hoe? Het komt allemaal neer op de factureringsmachtigingen van Microsoft. Als de gast specifieke factureringsrollen heeft in zijn of haar home-tenant (bijvoorbeeld een gratis proefaccount), kan hij of zij die bevoegdheid gebruiken om abonnementen aan te maken en deze vervolgens te verplaatsen naar elke andere tenant waarvoor hij of zij wordt uitgenodigd. Zo worden ze in feite 'eigenaar' van die abonnementen en krijgen ze brede controle over de resources binnen de betreffende tenant.

Microsoft heeft bevestigd dat dit de bedoeling is en wijst erop dat deze abonnementen op de rekening van de gast blijven staan ​​en dat er bestaande (maar niet-standaard) controles zijn om dergelijke overdrachten te voorkomen. De beveiligingsimplicaties zijn echter aanzienlijk.

Zodra een gast een abonnementseigenaar wordt in uw Azure-tenant, krijgt hij of zij toegang tot diverse geavanceerde mogelijkheden, waaronder het identificeren van wie er echt de leiding heeft, het uitschakelen van beveiligingsbewaking, het creëren van permanente achterdeurtjes en het misbruiken van apparaatvertrouwen.

Deze aanvalspaden bestaan ​​omdat factureringsrollen en resourcemachtigingen op afzonderlijke sporen werken, waardoor een overlapping ontstaat die niet wordt gedekt door typische op rollen gebaseerde toegangscontrolemodellen (RBAC).

Onderzoekers van BeyondTrust lieten zien hoe een aanvaller dit probleem in de praktijk kan uitbuiten. Een aanvaller kan beginnen met het opzetten van een eigen Azure-tenant met een gratis proefperiode, die hem automatisch factureringsbevoegdheid geeft.

Zodra ze als gast zijn uitgenodigd voor een doeltenant, kunnen ze inloggen op de Azure-portal en een nieuw abonnement maken met behulp van geavanceerde instellingen, waarbij ze de doeltenant als bestemming selecteren. Zonder ooit toestemming van de beheerder voor die tenant nodig te hebben, krijgt de aanvaller volledige toegang tot het nieuwe abonnement, wat de deur opent voor misbruik van rechten.

De functie die Microsoft hier heeft gecreëerd is logisch: sommige organisaties hebben veel tenants en er zijn use cases waarbij gebruikers met één home directory abonnementen moeten aanmaken in andere directory's waar ze slechts gast zijn. Het probleem zit in het standaardgedrag: als deze mogelijkheid opt-in zou zijn, wat betekent dat gasten standaard geen abonnementen kunnen aanmaken, zou het risico aanzienlijk worden verminderd en zou dit geen beveiligingsprobleem vormen.

Simon Maxwell-Stewart, Senior Data Engineer – BeyondTrust

Microsoft heeft aangegeven dat dit de bedoeling is, bedoeld om complexe multi-tenant-configuraties te ondersteunen waarbij gasten soms resources moeten aanmaken. Ze bieden abonnementsbeleid dat deze overdrachten kan blokkeren, maar deze opties zijn standaard uitgeschakeld.

Voor cybersecurityteams betekent dit dat het risico actief blijft totdat ze duidelijke maatregelen nemen. BeyondTrust adviseert verschillende belangrijke stappen om de blootstelling te verminderen, waaronder het activeren van abonnementsbeleid dat gastgestuurde overdrachten blokkeert, het regelmatig controleren van gastaccounts en het verwijderen van ongebruikte of onnodige accounts.

Om te voorkomen dat aanvallers virtuele machines of apparaten gebruiken voor verdere aanvallen, moet u abonnementen nauwlettend in de gaten houden op ongebruikelijke of onverwachte gastbronnen en de dynamische groepsregels en het vertrouwensbeleid voor apparaten zorgvuldig controleren.