Exploit di un attaccante emergente: Sincronizzazione Cross-Tenant di Microsoft

1 agosto 2023

Exploit di un attaccante emergente: Sincronizzazione Cross-Tenant di Microsoft

Vectra Research ha recentemente scoperto un metodo per sfruttare le funzionalità recentemente rilasciate da Microsoft per effettuare spostamenti laterali verso un altro tenant Microsoft.

‍

Sintesi

Vectra Research ha identificato un nuovo vettore di attacco contro Azure Active Directory che consente un movimento laterale verso altri tenant Microsoft.
Vectra dimostra anche la tecnica per mantenere l'accesso persistente in un tenant Azure, descritta per la prima volta qui.
La funzionalità di base per l'esecuzione di questo vettore di attacco è presente in ogni implementazione Microsoft.
Questo vettore di attacco segue vettori di attacco simili già noti, come l'abuso della federazione di domini o l'aggiunta di un'azienda partner, che richiedono un monitoraggio attivo per il rilevamento e la risposta.
Vectra ha pubblicato un POC per la verifica della sicurezza nell'ambito del MAAD Attack Framework open-source.
Vectra ha convalidato che i rilevamenti AI di Vectra forniscono la copertura per questa operazione prima della documentazione delle tecniche in questo rapporto.

‍

Introduzione

Gli aggressori continuano a prendere di mira le identità Microsoft per accedere alle applicazioni Microsoft connesse e alle applicazioni SaaS federate. Inoltre, gli aggressori continuano a portare avanti i loro attacchi in questi ambienti, non sfruttando le vulnerabilità, ma abusando delle funzionalità native di Microsoft per raggiungere il loro obiettivo. Il gruppo di aggressori Nobelium, collegato agli attacchi SolarWinds, è stato documentato mentre utilizzava funzionalità native come la creazione di trust federati. ^[4] per consentire l'accesso persistente a un tenant Microsoft.

In questo post dimostreremo una funzionalità nativa aggiuntiva che, se sfruttata da un utente malintenzionato, consente l'accesso persistente a un tenant del cloud Microsoft e la possibilità di movimento laterale verso un altro tenant. Questo vettore di attacco consente a un utente malintenzionato che opera in un tenant compromesso di abusare di una configurazione CTS (Cross-Tenant Synchronization) errata e di ottenere l'accesso ad altri tenant connessi o di distribuire una configurazione CTS errata per mantenere la persistenza all'interno del tenant.

Non abbiamo osservato l'uso di questa tecnica in natura, ma dato l'abuso storico di funzionalità simili, presentiamo i dettagli per consentire ai difensori di capire come si presenterebbe l'attacco e come monitorarne l'esecuzione. Inoltre, questo blog esaminerà il modo in cui i clienti di Vectra hanno attualmente una copertura - e l'hanno avuta fin dal primo giorno della funzionalità rilasciata per questa tecnica grazie ai nostri rilevamenti guidati dall'intelligenza artificiale e a Vectra Attack Signal Intelligence^{IntelligenceTM}.

‍

Sincronizzazione tra i tenant

CTS è una nuova funzionalità di Microsoft che consente alle organizzazioni di sincronizzare utenti e gruppi da altri tenant di origine e di concedere loro l'accesso alle risorse (applicazioni Microsoft e non) nel tenant di destinazione. Le funzionalità CTS si basano sulle precedenti configurazioni di fiducia B2B, consentendo una collaborazione automatizzata e senza interruzioni tra i diversi tenant, ed è una funzionalità che molte organizzazioni cercheranno di adottare. ^[2]^[3]

‍

Schemi di sincronizzazione tra affittuari

‍

Il CTS è una funzionalità potente e utile per organizzazioni come i conglomerati aziendali con più tenant tra le società affiliate, ma apre anche potenziali attacchi di ricognizione, movimento laterale e persistenza da parte di malintenzionati se non configurato e gestito correttamente. Discuteremo i rischi potenziali e i percorsi di attacco che gli avversari possono sfruttare il CTS per abusare delle relazioni di fiducia da un tenant potenzialmente compromesso a qualsiasi altro tenant configurato con una relazione di fiducia CTS.

Il CTS consente di sincronizzare (aggiungere) gli utenti di un altro tenant in un tenant di destinazione.
Una configurazione CTS non ben configurata può essere sfruttata per spostarsi lateralmente da un tenant compromesso a un altro tenant della stessa organizzazione o di un'altra.
Una configurazione CTS non autorizzata può essere distribuita e utilizzata come tecnica backdoor per mantenere l'accesso da un tenant Microsoft controllato da un avversario esterno.

‍

Presunto compromesso!

Le tecniche di sfruttamento seguono la filosofia dell'Assumed Compromise. Le tecniche utilizzate in questi exploit presuppongono che un'identità sia stata compromessa in un ambiente cloud Microsoft. In un contesto reale, ciò potrebbe derivare da una compromissione del browser su un endpoint gestito da Intune con un'identità gestita da Microsoft.

‍

Terminologia

‍

‍

Il facilitatore

Cose importanti da sapere sulla configurazione del CTS:

‍

L'attacco

Le tecniche di attacco descritte in questo blog richiedono determinate licenze e la compromissione di un account privilegiato o l'escalation dei privilegi a determinati ruoli nel tenant compromesso. Un ruolo di amministratore globale può eseguire tutte queste azioni in un tenant. ^[2]

‍

‍

Tecnica 1: Movimento laterale

Un utente malintenzionato che opera in un ambiente compromesso può sfruttare un tenant con configurazione CTS esistente per spostarsi lateralmente da un tenant a un altro tenant connesso.

‍

Schema di attacco con movimento laterale — *Figura 1: Panoramica dell'attacco con movimento laterale*

‍

L'attaccante accede al tenant compromesso.
L'attaccante effettua una ricognizione dell'ambiente per identificare i tenant target connessi tramite i criteri di Cross Tenant Access implementati.

‍

‍

L'attaccante esamina la configurazione del criterio Cross Tenant Access per ogni tenant connesso per identificarne uno con "Outbound Sync" abilitato. Il criterio CTA con la sincronizzazione in uscita abilitata consente la sincronizzazione di utenti e gruppi dal tenant corrente al tenant di destinazione.

‍

Dall'analisi della configurazione dei criteri CTA, l'attaccante trova un tenant connesso con la sincronizzazione in uscita abilitata e lo imposta come obiettivo per il movimento laterale.

‍

Dopo aver identificato l'applicazione di sincronizzazione CTS, l'aggressore può modificarne la configurazione per aggiungere l'account utente attualmente compromesso all'ambito di sincronizzazione dell'applicazione. Questo sincronizzerà l'account utente compromesso nel tenant di destinazione e garantirà all'attaccante l'accesso al tenant di destinazione utilizzando le stesse credenziali inizialmente compromesse.

‍

Se non ci sono condizioni esplicite di CTA in entrata che bloccano la sincronizzazione nel tenant di destinazione, l'account compromesso verrà sincronizzato nel tenant di destinazione.
L'attaccante si sposta lateralmente nel tenant di destinazione utilizzando lo stesso account inizialmente compromesso.

‍

Tecnica 2: Backdoor

Un aggressore che opera in un tenant compromesso può implementare una configurazione di Cross Tenant Access non autorizzata per mantenere l'accesso persistente.

‍

schemi di attacco backdoor — *Figura 2: Panoramica dell'attacco backdoor CTS*

‍

L'attaccante accede al tenant compromesso.

L'aggressore può ora sincronizzare nuovi utenti dal proprio tenant tramite push al tenant vittima di destinazione in qualsiasi momento futuro. Questo garantisce all'attaccante l'accesso futuro alle risorse del tenant di destinazione utilizzando l'account controllato dall'esterno.

‍

Difesa

‍

Clienti Vectra:

L'attuale portafoglio di allarmi di Vectra è in grado di rilevare questa attività anche prima di comprendere le implicazioni operative e le azioni previste che si verificherebbero prima di questo evento.

Il fatto che questa tecnica non sia sfruttata da una vulnerabilità reale la rende più difficile da prevenire una volta che un avversario si trova nell'ambiente con privilegi sufficienti. Tuttavia, i rilevamenti guidati dall'intelligenza artificiale di Vectra sono stati progettati per individuare questo tipo di scenari di abuso dei privilegi senza dover fare affidamento su firme o elenchi di operazioni note.

Azure AD Privilege Operation Anomaly di Vectra monitora il valore sottostante di ogni operazione nell'ambiente e di ogni utente. L'intelligenza artificiale crea continuamente una linea di base dei tipi di azioni che dovrebbero verificarsi nell'ambiente e identifica i casi di abuso dei privilegi cloud. Concentrandosi sul comportamento dell'abuso di privilegi, Vectra è in grado di identificare tecniche emergenti come quella qui documentata.

‍

Le azioni dell'attaccante che si verificano prima dell'attacco, come l'accesso all'account a seguito di un furto di token o altre forme di compromissione dell'account, verrebbero segnalate dai rilevamenti di Vectra come Azure AD Unusual Scripting Engine Usage, Azure AD Suspicious Sign-on o Azure AD Suspicious OAuth Application.

‍

Test di sicurezza del Cloud Microsoft

Testare regolarmente ed efficacemente gli ambienti è il modo migliore per essere sicuri della capacità di difesa dai cyberattacchi. MAAD-Attack Framework è uno strumento di emulazione degli attacchi open-source che combina le tecniche di attacco più comunemente utilizzate e consente ai team di sicurezza di emularle rapidamente ed efficacemente nei loro ambienti tramite un semplice terminale interattivo. Consultate MAAD-AF su GitHub o scopritene di più qui.

I team di sicurezza possono utilizzare il modulo MAAD-AF "Exploit Cross Tenant Synchronization" per emulare e testare le tecniche di sfruttamento CTS nel proprio ambiente.

Riferimenti:

Volete saperne di più?

Vectra® è leader nel rilevamento e nella risposta alle minacce cloud ibrido guidati dall'intelligenza artificiale. La piattaforma e i servizi Vectra coprono il cloud pubblico, le applicazioni SaaS, i sistemi di identità e l'infrastruttura di rete, sia on-premises che cloud. Le organizzazioni di tutto il mondo si affidano alla piattaforma e ai servizi di Vectra per resistere a ransomware, compromissioni della catena di approvvigionamento, appropriazioni di identità e altri attacchi informatici che colpiscono la loro organizzazione.

Se volete saperne di più, contattateci e vi mostreremo esattamente come facciamo e cosa potete fare per proteggere i vostri dati. Possiamo anche mettervi in contatto con uno dei nostri clienti per conoscere direttamente le loro esperienze con la nostra soluzione.

Contattateci

DOMANDE FREQUENTI

Qual è il vettore di attacco recentemente scoperto contro Azure Active Directory?

Il vettore di attacco sfrutta la funzione Cross-Tenant Synchronization (CTS) di Microsoft per eseguire un movimento laterale verso un altro tenant Microsoft. Questo metodo sfrutta la funzionalità nativa di Microsoft per sincronizzare utenti e gruppi tra i tenant, consentendo potenzialmente agli aggressori di ottenere un accesso persistente ai tenant collegati.

Quali sono i potenziali rischi associati alla CTS?

Un CTS mal configurato può consentire agli aggressori di spostarsi lateralmente da un tenant compromesso a un altro tenant o di implementare una configurazione CTS non autorizzata per mantenere un accesso persistente. Questo potrebbe portare all'accesso non autorizzato a dati e sistemi sensibili in più tenant.

Che cos'è il movimento laterale e come si può ottenere con la CTS?

Il movimento laterale prevede che un aggressore navighi attraverso reti o sistemi compromessi per ottenere l'accesso a ulteriori risorse. Attraverso il CTS, un aggressore può sfruttare le configurazioni di sincronizzazione esistenti per spostarsi da un tenant a un altro tenant connesso, ampliando il proprio accesso.

Quali capacità di rilevamento offre Vectra per questo vettore di attacco?

I rilevamenti AI di Vectra, come Azure AD Privilege Operation Anomaly, monitorano le attività anomale e gli scenari di abuso dei privilegi. Questi rilevamenti si concentrano sull'analisi del comportamento piuttosto che sulle firme, consentendo di identificare tecniche emergenti come l'exploit CTS.

Come possono le organizzazioni testare le proprie difese contro lo sfruttamento delle CTS?

Le organizzazioni possono utilizzare strumenti come il MAAD-Attack Framework per emulare e testare le tecniche di sfruttamento delle CTS. Test regolari ed efficaci aiutano a garantire che le difese siano in grado di rilevare e mitigare tali attacchi.

Come funziona la funzione Cross-Tenant Synchronization (CTS)?

CTS consente alle organizzazioni di sincronizzare utenti e gruppi di altri tenant di origine e di concedere loro l'accesso alle risorse del tenant di destinazione. Questo facilita la collaborazione tra i diversi tenant, ma apre anche potenziali rischi per la sicurezza se non gestiti correttamente.

Quali sono i prerequisiti necessari a un attaccante per sfruttare il CTS?

Un utente malintenzionato deve compromettere un account privilegiato in un ambiente cloud Microsoft, ad esempio un ruolo di amministratore globale, per eseguire le azioni necessarie al movimento laterale o all'accesso persistente. Spesso si parte dal presupposto che un'identità iniziale sia già stata compromessa.

‍

In che modo una configurazione CTS errata può essere utilizzata come backdoor?

Distribuendo una configurazione CTS non autorizzata, un utente malintenzionato può sincronizzare nuovi utenti da un tenant controllato dall'avversario a un tenant vittima. Ciò consente all'aggressore di mantenere l'accesso futuro utilizzando gli account sincronizzati, creando di fatto una backdoor nel tenant di destinazione.

Quali capacità di rilevamento offre Vectra per questo vettore di attacco?

Poiché questo vettore di attacco sfrutta le funzionalità native piuttosto che le vulnerabilità, i metodi di prevenzione tradizionali sono meno efficaci. Il monitoraggio continuo e il rilevamento attivo aiutano a identificare precocemente le attività sospette, consentendo una risposta tempestiva alle potenziali minacce.

Cosa devono fare i team di sicurezza per mitigare i rischi associati alle CTS?

I team di sicurezza devono garantire la corretta configurazione e gestione delle impostazioni CTS, rivedere e aggiornare regolarmente i criteri di sincronizzazione e utilizzare piattaforme avanzate di rilevamento e risposta alle minacce. L'implementazione dei rilevamenti guidati dall'intelligenza artificiale di Vectra può migliorare la capacità di identificare e rispondere agli scenari di abuso dei privilegi.

Comprendendo e affrontando i rischi associati alle CTS, le organizzazioni possono proteggere meglio i loro ambienti cloud Microsoft da minacce persistenti avanzate e attacchi laterali.