Pas op voor het verborgen risico in uw Entra -omgeving

Cyberbeveiliging
Guest Account Risk in Entra Environment

Als u gastgebruikers uitnodigt voor uw Entra ID -huurder, kunt u zich misschien openen voor een verrassend risico.

Een kloof in toegangscontrole in de abonnementsafhandeling van Microsoft Entra is dat gastgebruikers abonnementen kunnen maken en overbrengen naar de huurder waarin ze worden uitgenodigd, terwijl ze volledig eigendom van hen behouden.

Alle gastengebruikersbehoeften zijn de machtigingen om abonnementen te maken in hun woninghuurder, en een uitnodiging als gastgebruiker in een externe huurder. Eenmaal binnen kan de gastgebruiker abonnementen maken in zijn huurder van thuis, ze overbrengen naar de externe huurder en volledige eigendomsrechten behouden. Met deze stealthy privilege -escalatietactiek kan een gastgebruiker een bevoorrechte voet aan de grond krijgen in een omgeving waar hij slechts beperkte toegang zou moeten hebben.

Veel organisaties beschouwen gastrekeningen als een laag risico op basis van hun tijdelijke, beperkte toegang, maar dit gedrag, dat werkt zoals ontworpen, opent de deur voor bekende aanvalspaden en laterale beweging binnen de huurder van de hulpbronnen. Het kan een dreigingsacteur in staat stellen ongeoorloofde verkenning en doorzettingsvermogen te bereiken in de Entra ID van de verdediger en in bepaalde scenario’s escalatie van privileges bevorderen.

Typische dreigingsmodellen en best practices zijn geen rekening gehouden met een onbevoegde gast die hun eigen abonnement op uw huurder creëert, dus dit risico bestaat niet alleen buiten de controles van uw organisatie; Het kan ook van de radar van uw beveiligingsteam zijn.

Hoe u uw Entra ID -huurder compromitteert met een gastgebruikersaccount

Gastgemaakte abonnement Vaststillers maken gebruik van het feit dat de factureringsmachtigingen van Microsoft (Enterprise Agreement of Microsoft Customer Agreement) worden bekleed op de factureringsrekening, niet op de Entra Directory. De meeste beveiligingsteams denken over Azure -machtigingen als ofwel Entra Directory -rollen (zoals Global Administrator) of Azure RBAC -rollen (zoals eigenaar). Maar er is nog een reeks machtigingen die over het hoofd worden gezien: factureringsrollen.

Terwijl Entra Directory en Azure RBAC-rollen zich richten op het beheren van machtigingen rond identiteiten en toegang tot middelen, werken factureringsrollen op het factureringsrekeningniveau, dat bestaat buiten de goed begrepen Azure huurderauthenticatie en autorisatiegrenzen. Een gebruiker met de juiste factureringsrol kan abonnementen van hun thuiswonten opsplit of overdragen om controle te krijgen binnen een doelwit, en een beveiligingsteam dat strikt aan het controleren van Entra Directory -rollen zal geen zichtbaarheid van deze abonnementen krijgen in een standaard ENTRA -toestemmingsreview.

Wanneer een B2B -gastgebruiker wordt uitgenodigd voor een huurder van een resource, hebben ze toegang tot de huurder via Federation van hun huishuurder. Dit is een kostenbesparende maatregel, de afweging is dat uw huurder geen autoritaire besturingselementen zoals MFA kan afdwingen. Als zodanig proberen verdedigers meestal de privileges en de toegang van gasten te beperken, omdat ze inherent minder beveiligd zijn. Als de gast echter een geldige factureringsrol heeft in zijn huurder, kunnen ze deze gebruiken om een ​​abonnementseigenaar te worden in Azure.

Dit geldt ook voor gastgebruikers die bestaan ​​in pay-as-you-go Azure-huurders dat een aanvaller in slechts een paar minuten zou kunnen draaien. En standaard kan elke gebruiker, inclusief gasten, externe gebruikers uitnodigen in de map. Dit betekent dat een aanvaller een gecompromitteerd account kan benutten om bij een gebruiker uit te nodigen met de juiste factureringsrechten in uw omgeving.

Hoe een aanvaller verhoogde toegang kan krijgen met behulp van een onbevestigde Entra Guest -account:

  1. Aanvaller krijgt de controle over een gebruiker met een factureringsrol die abonnementen / eigenaar van een abonnement in een huurder kan maken, hetzij door:
    1. Het creëren van hun eigen Entra -huurder met behulp van een Azure -gratis proefperiode (de gebruiker met wie hij zich heeft aangemeld, is een eigenaar van een factureringsaccount)
    2. Of, door een bestaande gebruiker in gevaar te brengen bij een huurder die al een bevoorrechte factureringsrol / abonnementseigendom heeft
  2. Aanvaller krijgt een uitnodiging om gastgebruiker te worden in hun Target Entra -huurder. Standaard kan elke gebruiker of gast een gast uitnodigen voor de huurder.
  3. Aanvaller logt in op het Azure -portal, gaat in hun eigen thuismap – die ze volledig beheersen.
  4. Aanvaller navigeert naar abonnementen> Toevoegen +.
  5. De aanvaller schakelt over naar het tabblad “Geavanceerd” en stelt de directory van de verdediger in als de doelmap.
  6. Aanvaller creëert een abonnement. Er verschijnt geen abonnement in de huurder van de aanvaller. In plaats daarvan verschijnt het abonnement in de huurder van Defender, onder de Root Management Group.
  7. Aanvaller wordt automatisch de RBAC -rol van “eigenaar” toegewezen voor dit abonnement.

Real-world risico: wat een rusteloze gast kan doen met een nieuw abonnement

Zodra een aanvaller een abonnement heeft met toestemming van de eigenaar binnen de huurder van een andere organisatie, kunnen ze die toegang gebruiken om acties uit te voeren die normaal zouden worden geblokkeerd door hun beperkte rol. Deze omvatten:

  • Lijst Root Management Group Administrators – In veel huurderconfiguraties hebben gastgebruikers nul machtigingen om andere gebruikers binnen een huurder te vermelden; Na een aanval van een gastabonnement wordt die zichtbaarheid echter mogelijk. De gasteneigenaar kan de rolopdrachten “Access Control” bekijken op het abonnement dat ze hebben gemaakt. Alle beheerders die zijn toegewezen op het Root Management Group-niveau van de huurder zullen worden geërfd en verschijnen in de weergave van de rolopdrachten van het abonnement, waardoor een lijst wordt blootgelegd met hoogwaardige bevoorrechte accounts die ideale doelen zijn voor vervolgaanvallen en sociale engineering.
  • Het verzwakken van het standaard Azure -beleid gekoppeld aan het abonnement – Standaard worden alle abonnementen (en hun middelen) beheerst door Azure -beleid dat is ontworpen om beveiligingsnormen en trigger -meldingen af ​​te dwingen wanneer schendingen optreden. Wanneer een gast echter een abonnementseigenaar wordt, hebben ze volledige schrijfmachtigingen voor alle beleidsmaatregelen die van toepassing zijn op hun abonnement en kunnen ze deze wijzigen of uitschakelen, waardoor beveiligingswaarschuwingen effectief worden gedempt die anders verdedigers zouden op de hoogte stellen van verdachte of niet-conforme activiteiten. Dit vermindert verder de zichtbaarheid van beveiligingsmonitoringhulpmiddelen, waardoor de aanvaller kwaadaardige activiteiten kan uitvoeren of externe systemen onder de radar kunnen targeten.
  • Een door de gebruiker beheerde identiteit creëren in de Entra ID -directory – Een gastgebruiker met machtigingen van abonnementen kan een door de gebruiker beheerde identiteit creëren, een speciale Azure-identiteit die in de Entra-directory leeft, maar is gekoppeld aan cloud-workloads, binnen hun abonnement. Deze identiteit kan:
    • Onafhankelijk van de oorspronkelijke gastrekening blijven bestaan
    • Krijgen rollen of machtigingen buiten het abonnement
    • Mix in met legitieme service -identiteiten, waardoor detectie moeilijker wordt
    • Lanceer een gerichte API -toestemming phishing -aanval om legitieme beheerders te misleiden om deze beheerde identiteit verhoogde privileges te verlenen.
  • Registratie van Microsoft Entra -samengevoegde apparaten en misbruik van voorwaardelijk toegangsbeleid – Azure maakt het toe dat vertrouwde apparaten worden geregistreerd en verbonden met Entra ID. Een aanvaller kan apparaten registreren onder hun gekaapte abonnement en hem laten verschijnen als conforme bedrijfsapparaten. Veel organisaties gebruiken dynamische apparaatgroepen om rollen of toegang automatisch te tekenen op basis van apparaatstatus (bijv. “Alle gebruikers op conforme laptops krijgen toegang tot X”). Door een apparaat te spoofen of te registreren, kan een aanvaller een voorwaardelijk toegangsbeleid misbruiken en ongeautoriseerde toegang krijgen tot vertrouwde activa. Dit vertegenwoordigt een op apparaten gebaseerde variant van een bekende dynamische groepsexploitatie(1) Eerder gezien in het targeting van het gebruikersobject. Beyond Trust’s Identity Security Insights -product heeft klanten geholpen veel vergelijkbare verkeerd geconfigureerde dynamische groepen te ontdekken die onbedoeld verborgen paden naar Privilege ™ blootleggen.

Waarom het creëren van gastabonnement een groeiende zorg is voor Entra Security

Hoewel meer werk nodig is om de ware implicaties van dit bijgewerkte dreigingsmodel te begrijpen, wat we al weten is dat het is: elke gastrekening die in uw huurder federeert, kan een pad naar privileges vertegenwoordigen. Het risico is niet hypothetisch. Onderzoekers van BeyondTrust hebben aanvallers waargenomen die actief op gast-gebaseerde abonnementscreatie in het wild misbruiken. De dreiging is aanwezig, actief en het echte gevaar hier ligt in het feit dat het grotendeels onder de radar ligt.

Deze acties vallen buiten wat de meeste Azure -beheerders verwachten dat een gastgebruiker in staat is. De meeste beveiligingsteams zijn niet verantwoordelijk voor gastgebruikers die abonnementen kunnen maken en besturen. Als gevolg hiervan valt deze aanvalsvector vaak buiten de typische Entra-bedreigingsmodellen, waardoor dit pad naar privilege wordt onderverkent, onverwacht en gevaarlijk toegankelijk.

Deze aanvalsvector is uiterst gebruikelijk in B2B -scenario’s, waar huurders thuis- en hulpbronnen vaak worden bestuurd door verschillende organisaties. We vermoeden dat veel organisaties gebruik maken van Entra ID B2B -gastfuncties zijn niet op de hoogte van de mogelijke wegen naar het voorrecht dat deze functie onbedoeld mogelijk maakt.

Mitigaties: hoe te voorkomen dat gastabonnementaccounts voet aan de grond krijgen

Om dit gedrag te verminderen, stelt Microsoft organisaties in staat om abonnementsbeleid te configureren om gasten te blokkeren om abonnementen over te dragen naar hun huurder. Deze instelling beperkt het creëren van abonnement tot expliciet toegestane gebruikers, en Microsoft heeft ondersteunende documentatie gepubliceerd(2) voor deze controle.

Naast het inschakelen van dit beleid, raden we de volgende acties aan:

  1. Controleer alle gastenaccounts in uw omgeving en verwijder degenen die niet langer nodig zijn
  2. Harden Guest controleert zoveel mogelijk: bijvoorbeeld, schakel gast-tot-guest uitnodigingen uit
  3. Controleer alle abonnementen in uw huurder regelmatig om onverwachte door de gast gecreëerde abonnementen en bronnen te detecteren
  4. Controleer alle waarschuwingen voor de beveiligingscentrum in de Azure -portal; Sommigen kunnen verschijnen, zelfs als de zichtbaarheid niet consistent is
  5. Auditapparaattoegang, vooral als deze gebruik maken van dynamische groepsregels.

Om verdedigers te helpen, biedt BeyTrust Identity Security Insights ingebouwde detecties om abonnementen te markeren die door gastenaccounts zijn gecreëerd en geautomatiseerd zichtbaarheid in dit ongebruikelijke gedrag biedt.

https://www.youtube.com/watch?v=fx4be79ftxy

BeyondTrust Identity Security Insights kunnen klanten een holistisch beeld krijgen van alle identiteiten in hun hele identiteitsweefsel. Dit omvat het verkrijgen van een geconsolideerd begrip van Entra Guest Accounts en hun True Privilege ™.

Het grotere geheel: identiteitsafwijkingen zijn de nieuwe exploits

Gastgemaakt abonnementcompromis is geen anomalie; Het is een grimmig voorbeeld van de vele over het hoofd gezien de zwakke punten van de identiteitsbeveiliging die de moderne enterprise -omgeving kunnen ondermijnen, zo niet voldoende aangepakt. Misverbonden en zwakke standaardinstellingen zijn uitstekende toegangspunten voor dreigingsacteurs die op zoek zijn naar de verborgen paden in uw omgeving.

Het zijn niet alleen uw admin -accounts die meer in uw beveiligingsbeleid moeten worden opgenomen. B2B Trust -modellen, geërfde factureringsrechten en dynamische rollen betekenen dat elk account een potentieel lanceerpunt is voor escalatie van privileges. Onderzoek nu uw gastentoegangsbeleid, zichtbaarheidstools en modellen voor abonnementsbeheer, voordat deze rusteloze gasten profiteren.

Om een ​​momentopname te krijgen van potentiële op identiteit gebaseerde risico’s in uw omgeving, inclusief die geïntroduceerd door middel van gastoegang, biedt BeyondTrust een kosteloze risicobeoordeling voor identiteitszekerheid.

Opmerking: Dit artikel is vakkundig geschreven en bijgedragen door Simon Maxwell-Stewart, senior beveiligingsonderzoeker bij BeyondTrust. Simon Maxwell-Stewart is afgestudeerd in de University of Oxford met meer dan een decennium ervaring in de big data-omgeving. Voordat hij bij BeyondTrust kwam, werkte hij als hoofdgegevenswetenschapper in de gezondheidszorg en bracht hij met succes meerdere machine learning -projecten in productie. Nu werkt Simon nu als een “Resident Graph Nerd” in het beveiligingsonderzoeksteam van BeyondTrust en past zijn expertise toe in grafiekanalyse om de innovatie van identiteitsveiligheid te helpen stimuleren.

  1. Mnemonic. “Dynamische groepen misbruiken in Azure AD voor escalatie van privileges.” Beschikbaar: https://www.mnemonic.io/resources/blog/abusing-dynamic-groups-in-azure-ad-for-privilege-escalation/
  2. Microsoft. “Beheer Azure -abonnementsbeleid.” Beschikbaar: https://learn.microsoft.com/en-us/azure/cost-management-billing/manage/manage-azure-subscription-policy
Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Gemini kan je misschien binnenkort je huis uit de auto laten afkoelen

De lijst van Galaxy Buds Core bevestigt oordopjes met de levensduur van de epische batterij

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]