Nueva Vulnerabilidad Azure Active Directory

Los atacantes tienen acceso al movimiento lateral y ataques backdoor.

Se ha descubierto una nueva vulnerabilidad en el producto Microsoft Azure Active Directory . Estamos hablando del abuso de la función de Cross-Tenant Synchronization (CTS) recientemente introducida , que le permite sincronizar grupos entre múltiples usuarios de Azure.

Los inquilinos de Azure son organizaciones o divisiones independientes dentro de Azure Active Directory, configuradas con sus propias políticas, usuarios y configuraciones. CTS permite al administrador configurar la sincronización entre varios clientes para garantizar una colaboración perfecta. En este caso, los usuarios de un cliente de origen se sincronizan automáticamente con el cliente de destino.

Sin embargo, los expertos advierten que los atacantes podrían abusar de la nueva función para propagar malware entre los inquilinos de Azure relacionados.

En un informe reciente , la firma de seguridad cibernética Vectra detalló cómo los piratas informáticos pueden usar CTS para moverse de lado a lado entre los clientes e incluso mantener la persistencia en un dispositivo comprometido.

El primer método, descrito en el informe de Vectra, consiste en verificar las configuraciones de CTS para determinar los clientes de destino conectados mediante estas políticas y buscar específicamente clientes con “Sincronización saliente” habilitada, lo que permite la sincronización con otros clientes.

Al encontrar un cliente que cumpla con estos criterios, el atacante encuentra la aplicación utilizada para sincronizar el CTS y cambia su configuración para agregar al usuario comprometido al ámbito de sincronización, obteniendo así acceso a la red de otro cliente. Esto permite que un pirata informático se mueva hacia los lados sin necesidad de ingresar nuevas credenciales.

El segundo método informado por Vectra implica implementar una configuración CTS personalizada para mantener el acceso continuo a los clientes de destino.

El uso de este método requiere que el cibervillano ya haya comprometido una cuenta privilegiada, después de lo cual puede implementar una nueva política CTS y habilitar “Inbound Sync” y “Automatic User Consent”, lo que le permite enviar nuevos usuarios desde su cliente externo en cualquier momento. Esta configuración proporciona a un atacante acceso al cliente de destino en cualquier momento.

Incluso si las cuentas de los estafadores se eliminan del sistema, el atacante aún puede crear y mover nuevos usuarios a voluntad, obteniendo acceso inmediato a los recursos del cliente objetivo, razón por la cual los investigadores llamaron a este método un ataque de puerta trasera.

Si bien hasta ahora ningún ataque conocido ha abusado de la nueva función de Active Directory, Vectra ofreció recomendaciones para fortalecer la configuración para evitar posibles abusos.

La empresa propone que los inquilinos de CTS objetivo eviten implementar una configuración estándar o demasiado inclusiva de acceso entre inquilinos ( CTA ) entrante y, si es posible, establezca límites sobre qué usuarios y grupos pueden acceder a sus entornos de nube.

Mientras tanto, los clientes CTS originales que actúan como puntos de partida para una infracción deben monitorear a todos los usuarios privilegiados en busca de actividad sospechosa.

Un informe de otra empresa de ciberseguridad, Invictus , publicado en febrero de este año también proporciona detalles sobre cómo se registran las actividades de CTS, lo que permite a los administradores comprender mejor cómo detectar y detener el comportamiento malicioso.