Злоумышленникам открыт доступ к боковому перемещению и атакам с чёрного хода.
В продукте Microsoft Azure Active Directory была обнаружена новая уязвимость. Речь идёт о злоупотреблении недавно введённой функцией « синхронизация между клиентами » (Cross-Tenant Synchronization, CTS), которая позволяет синхронизировать пользователей и группы между несколькими клиентами Azure.
Клиенты Azure представляют собой отдельные организации или подразделения внутри Azure Active Directory, настроенные со своими собственными политиками, пользователями и параметрами. CTS даёт возможность администратору настроить синхронизацию между несколькими клиентами для обеспечения беспрепятственного сотрудничества. При этом пользователи из одного клиента-источника автоматически синхронизируются с целевым клиентом.
Однако эксперты предупреждают, что злоумышленники могут злоупотребить новой функцией для распространения вредоносного ПО между связанными клиентами Azure.
В своём недавнем отчёте компания по кибербезопасности Vectra подробно описала, как хакеры могут использовать CTS для бокового перемещения между клиентами и даже для сохранения постоянства доступа на скомпрометированном устройстве.
Первый метод, описанный в отчёте Vectra, включает в себя проверку конфигураций CTS для определения целевых клиентов, подключенных с помощью этих политик, и, в частности, поиск клиентов с включенной «Исходящей синхронизацией», которая позволяет выполнять синхронизацию с другими клиентами.
Найдя клиента, соответствующего этим критериям, злоумышленник находит приложение, используемое для синхронизации CTS, и изменяет его конфигурацию, чтобы добавить скомпрометированного пользователя в область синхронизации, получив таким образом доступ к сети другого клиента. Это позволяет хакеру осуществлять боковое перемещение, не требуя ввода новых учётных данных.
Второй метод, о котором сообщили специалисты Vectra, включает развёртывание нестандартной конфигурации CTS для поддержания постоянного доступа к целевым клиентам.
Для использования этого метода требуется, чтобы киберзлодей уже скомпрометировал привилегированную учётную запись, после чего может развернуть новую политику CTS и активировать «Входящую синхронизацию» и «Автоматическое согласие пользователя», что позволяет им в любое время отправлять новых пользователей из их внешнего клиента. Данная настройка предоставляет злоумышленнику доступ к целевому клиенту в любое время.
Даже если учётные записи мошенников удалены из системы, злоумышленник всё ещё может создавать и перемещать новых пользователей по своему желанию, получая немедленный доступ к ресурсам целевого клиента, в связи с чем исследователи окрестили данный метод атакой с чёрного хода.
Хотя ни одна из известных атак пока не злоупотребляла новой функцией Active Directory, Vectra всё же предложила рекомендации по усилению конфигурации, чтобы предотвратить потенциальное злоупотребление.
Компания предлагает, чтобы целевые арендаторы CTS избегали реализации стандартной или чрезмерно инклюзивной конфигурации входящего межклиентского доступа (Cross-Tenant Access, CTA) и, если возможно, устанавливали ограничения на то, какие пользователи и группы могут получить доступ к своим облачным средам.
Тем временем, исходные клиенты CTS, которые выступают в качестве начальных точек взлома, должны отслеживать всех привилегированных пользователей на предмет подозрительной активности.
Отчёт другой компании в сфере кибербезопасности, Invictus, вышедший в феврале этого года , также содержит подробную информацию о том, как регистрируются действия CTS, что позволяет администраторам лучше понимать, как обнаруживать и пресекать вредоносное поведение.
Большой взрыв знаний каждый день в вашем телефоне