O design do Microsoft Entra permite que usuários convidados obtenham controle do Azure, dizem pesquisadores

Pesquisadores de segurança cibernética da BeyondTrust alertam sobre um problema pouco conhecido, mas perigoso, na plataforma de identidade Entra da Microsoft . O problema não é um bug oculto ou uma vulnerabilidade ignorada; é um recurso, incorporado ao sistema por padrão, que pode ser explorado por invasores.

O problema é que usuários convidados para o locatário do Azure de uma organização podem criar e transferir assinaturas dentro desse locatário sem ter privilégios de administrador direto. Ao fazer isso, eles ganham direitos de "Proprietário" sobre essa assinatura, abrindo um conjunto surpreendente de oportunidades de ataque que muitos administradores do Azure talvez nunca tivessem considerado.

Organizações frequentemente convidam parceiros ou colaboradores externos para seus ambientes do Azure como "usuários convidados". Normalmente, esses convidados recebem acesso limitado para evitar danos caso suas contas sejam comprometidas. Mas as descobertas da BeyondTrust, compartilhadas com o Hackread.com, revelam que, sob certas condições, esses convidados podem ativar assinaturas inteiras do Azure dentro do locatário do host, mesmo sem permissões explícitas naquele ambiente.

Como? Tudo se resume às permissões de cobrança da Microsoft. Se o hóspede tiver funções de cobrança específicas em seu locatário principal (por exemplo, se ele criou uma conta de teste gratuita), ele pode usar essa autoridade para criar assinaturas e movê-las para qualquer outro locatário para o qual for convidado. Ao fazer isso, ele se torna efetivamente "Proprietário" dessas assinaturas, obtendo amplo controle sobre os recursos dentro do locatário alvo.

A Microsoft confirmou que esse é um comportamento intencional, ressaltando que essas assinaturas permanecem na conta do hóspede e que existem controles existentes (mas não padrão) para impedir tais transferências. Ainda assim, as implicações de segurança são substanciais.

Depois que um convidado se torna um proprietário de assinatura dentro do seu locatário do Azure, ele desbloqueia vários recursos avançados, incluindo identificar quem realmente está no comando, desabilitar o monitoramento de segurança, criar backdoors persistentes e abusar da confiança do dispositivo.

Esses caminhos de ataque existem porque as funções de cobrança e as permissões de recursos operam em trilhas separadas, criando uma sobreposição que não é coberta pelos modelos típicos de controle de acesso baseado em funções (RBAC).

Pesquisadores da BeyondTrust demonstraram como um invasor poderia explorar esse problema na prática. Um invasor poderia começar configurando seu próprio locatário do Azure usando um teste gratuito, o que lhe daria automaticamente autoridade de cobrança.

Após serem convidados como convidados para um locatário alvo, eles podem acessar o portal do Azure e criar uma nova assinatura usando as configurações avançadas, selecionando o locatário alvo como destino. Sem precisar de aprovação do administrador naquele locatário, o invasor obtém acesso total de Proprietário à nova assinatura, abrindo caminho para técnicas de abuso de privilégios.

“O recurso que a Microsoft criou aqui faz sentido: algumas organizações têm muitos locatários, e há casos de uso em que usuários com um diretório inicial precisam criar assinaturas em outros nos quais são apenas convidados. O problema está no comportamento padrão: se esse recurso fosse opt-in, o que significa que os convidados seriam impedidos de criar assinaturas por padrão, o risco seria significativamente reduzido, e isso não representaria um problema de segurança.”

Simon Maxwell-Stewart, Engenheiro de Dados Sênior – BeyondTrust

A Microsoft declarou que esse é um comportamento intencional, destinado a oferecer suporte a configurações complexas de vários locatários, nas quais os convidados às vezes precisam criar recursos. A Microsoft fornece políticas de assinatura que podem bloquear essas transferências, mas esses controles estão desativados por padrão.

Para as equipes de segurança cibernética, isso significa que o risco permanece ativo até que medidas claras sejam tomadas. A BeyondTrust recomenda diversas medidas importantes para reduzir a exposição, incluindo a ativação de políticas de assinatura que bloqueiem transferências conduzidas por convidados, a auditoria regular das contas de convidados e a remoção de contas não utilizadas ou desnecessárias.

Para evitar que invasores usem máquinas ou dispositivos virtuais para novos ataques, monitore de perto as assinaturas em busca de recursos incomuns ou inesperados criados por convidados e revise cuidadosamente as regras de grupo dinâmico e as políticas de confiança do dispositivo.