Tính năng Đồng bộ hóa nhiều bên thuê Azure Active Directory (CTS) mới của Microsoft, được giới thiệu vào tháng 6 năm 2023, đã tạo ra một bề mặt tấn công tiềm năng mới có thể cho phép các tác nhân đe dọa dễ dàng tấn công sang các bên thuê Azure khác.
Đối tượng thuê của Microsoft là các tổ chức khách hàng hoặc tổ chức con trong Azure Active Directory được định cấu hình với các chính sách, người dùng và cài đặt của riêng họ.
Tuy nhiên, vì các tổ chức lớn có thể được chia thành nhiều đối tượng thuê theo mục đích tổ chức, nên đôi khi có thể dễ dàng hơn khi cho phép người dùng đồng bộ hóa giữa các đối tượng thuê được ủy quyền do cùng một thực thể kiểm soát.
Vào tháng 6, Microsoft đã giới thiệu tính năng Đồng bộ hóa giữa các bên thuê (CTS) mới cho phép quản trị viên đồng bộ hóa người dùng và nhóm trên nhiều đối tượng thuê và tài nguyên của đối tượng thuê, mang đến khả năng cộng tác liền mạch, tự động hóa quản lý vòng đời của các dự án B2B, v.v.
Khi định cấu hình CTS, đối tượng thuê Azure ‘nguồn’ sẽ được đồng bộ hóa với đối tượng thuê ‘đích’, trong đó người dùng từ nguồn có thể tự động được đồng bộ hóa với đối tượng thuê mục tiêu. Khi đồng bộ hóa người dùng, người dùng chỉ được đẩy từ nguồn và không được kéo từ đích, việc này trở thành đồng bộ hóa một phía.
Tuy nhiên, nếu được định cấu hình không đúng cách, những kẻ tấn công đã xâm phạm một đối tượng thuê bất kỳ và giành được các đặc quyền nâng cao có thể khai thác tính năng mới để chuyển sang các đối tượng thuê được kết nối khác, sau đó triển khai các cấu hình CTS giả mạo để thiết lập sự tồn tại lâu dài trên các mạng đó.
Bề mặt tấn công này đã được Invictus mô tả trước đây, báo cáo của họ chủ yếu tập trung vào việc phát hiện các tác nhân đe dọa lạm dụng tính năng này.
Khoảng trống cấu hình CTS
Trong một báo cáo được công bố ngày 2 tháng 8, công ty an ninh mạng Vectra đã giải thích chi tiết về cách các tác nhân đe dọa có thể lạm dụng tính năng này để lây lan sang những người thuê được liên kết hoặc thậm chí sử dụng tính năng này để tồn tại lâu dài.
Tuy nhiên, họ cũng cảnh báo rằng việc lạm dụng tính năng này yêu cầu tác nhân đe dọa trước tiên phải xâm nhập tài khoản đặc quyền hoặc nâng cấp đặc quyền trong môi trường đám mây của Microsoft bị tấn công.
Vectra giải thích trong báo cáo của họ: “Chúng tôi chưa quan sát thấy việc sử dụng kỹ thuật này trong thực tế, nhưng dựa trên việc lạm dụng chức năng tương tự trong lịch sử – chúng tôi trình bày chi tiết để những người bảo vệ hiểu cách thức tấn công sẽ diễn ra và cách giám sát việc thực hiện”.
Kỹ thuật đầu tiên được mô tả trong báo cáo của Vectra liên quan đến việc xem xét các cấu hình CTS để xác định các đối tượng thuê mục tiêu được kết nối thông qua các chính sách này và cụ thể là tìm kiếm các đối tượng thuê có bật ‘Đồng bộ hóa đầu ra’, cho phép đồng bộ hóa với các đối tượng thuê khác.
Khi tìm thấy một đối tượng thuê đáp ứng các tiêu chí đó, kẻ tấn công sẽ định vị ứng dụng được sử dụng để đồng bộ hóa CTS và sửa đổi cấu hình để thêm người dùng bị xâm nhập vào phạm vi đồng bộ hóa, giành quyền truy cập vào mạng của đối tượng thuê khác. Điều này cho phép tác nhân đe dọa đạt được chuyển động ngang mà không yêu cầu thông tin xác thực người dùng mới.
Kỹ thuật thứ hai do Vectra trình bày liên quan đến việc triển khai cấu hình CTS giả mạo để duy trì quyền truy cập liên tục vào đối tượng thuê mục tiêu. Một lần nữa, cần lưu ý rằng phương pháp này yêu cầu tác nhân đe dọa phải xâm nhập một tài khoản đặc quyền trong đối tượng thuê.
Cụ thể, kẻ tấn công triển khai chính sách CTS mới và bật ‘Đồng bộ hóa trong nước’ và ‘Sự đồng ý của người dùng tự động’, cho phép chúng đẩy người dùng mới từ đối tượng thuê bên ngoài sang mục tiêu bất kỳ lúc nào.
Thiết lập này mang đến cho kẻ tấn công quyền truy cập vào đối tượng thuê mục tiêu bất kỳ lúc nào thông qua tài khoản bên ngoài.
Ngay cả khi các tài khoản lừa đảo bị xóa, kẻ tấn công có thể tạo và “đẩy” người dùng mới theo ý muốn, giành quyền truy cập ngay vào tài nguyên của đối tượng thuê mục tiêu, do đó Vectra gọi đây là “backdoor”.
Bảo vệ chống lại các cuộc tấn công này
Mặc dù không có cuộc tấn công nào đã lạm dụng tính năng này, Vectra đã đưa ra hướng dẫn về cách tăng cường cấu hình của bạn để ngăn tính năng này bị lạm dụng.
Vectra đề xuất rằng đối tượng thuê mục tiêu CTS nên tránh triển khai cấu hình CTA gửi đến mặc định hoặc quá khái quát và nếu có thể, hãy đặt giới hạn đối với những người dùng và nhóm có thể truy cập vào môi trường đám mây của họ.
Đối tượng thuê nguồn CTS đóng vai trò là điểm tấn công ban đầu phải giám sát tất cả người dùng đặc quyền để biết hoạt động đáng ngờ.
Báo cáo của Invictus cung cấp thông tin chi tiết về cách hoạt động CTS được ghi lại, cho phép quản trị viên phát hiện hành vi nguy hiểm.
BleepingComputer đã liên hệ với Microsoft để đặt câu hỏi về báo cáo, nhưng họ từ chối bình luận.
Nguồn: bleepingcomputer.com
Vina Aspire là nhà cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng.
Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:
Email: info@vina-aspire.com | Tel: +84 944 004 666 | Fax: +84 28 3535 0668 | Website: www.vina-aspire.com
Vina Aspire – Vững bảo mật, trọn niềm tin
Nguồn : https://www.john-partners.us/tinh-nang-microsoft-azure-ad-cts-moi-co-the-bi-lam-dung-de-chuyen-dong-ngang
