Hacking
Εκμετάλλευση Ρόλων Χρέωσης στο Microsoft Entra για Αύξηση Προνομίων
Κρίσιμη ευπάθεια στο Microsoft Entra ID επιτρέπει αύξηση προνομίων μέσω ρόλων χρέωσης. TAGS: Microsoft Entra, Azure, BeyondTrust, ασφάλεια, κυβερνοασφάλεια, IAM
Ανακάλυψη μιας Κρίσιμης Ευπάθειας
Ερευνητές της BeyondTrust αποκάλυψαν μια κρίσιμη ευπάθεια στα περιβάλλοντα Microsoft Entra ID και Azure, όπου επιτιθέμενοι μπορούν να εκμεταλλευτούν λιγότερο γνωστούς ρόλους χρέωσης για να αυξήσουν τα προνόμια τους εντός οργανωτικών περιβαλλόντων. Αυτή η ευπάθεια επιτρέπει σε χρήστες-επισκέπτες, που συχνά προσκαλούνται για συνεργασία με περιορισμένα δικαιώματα, να δημιουργούν και να ελέγχουν συνδρομές Azure σε εξωτερικούς tenants, όπου δεν έχουν άμεσο διοικητικό έλεγχο.
Η Κρυφή Απειλή της Πρόσβασης Επισκεπτών στο Azure
Αυτό που καθιστά την κατάσταση ιδιαίτερα ανησυχητική είναι η προεπιλεγμένη ρύθμιση των συστημάτων της Microsoft, που επιτρέπει τέτοιες ενέργειες εκτός αν περιοριστούν ρητά, εκθέτοντας οργανισμούς σε μη εξουσιοδοτημένη αναγνώριση, διατήρηση και πιθανή αύξηση προνομίων. Ο πυρήνας αυτής της εκμετάλλευσης βρίσκεται στο παράλληλο μοντέλο αδειών των ρόλων χρέωσης της Microsoft υπό Συμφωνίες Επιχειρήσεων (EA) και Συμφωνίες Πελατών Microsoft (MCA), συμπεριλαμβανομένων των ρυθμίσεων pay-as-you-go.
Από Επισκέπτης σε Ιδιοκτήτης: Μια Επικίνδυνη Πορεία προς τον Έλεγχο
Σύμφωνα με την αναφορά, οι επιθέσεις απόδειξης της BeyondTrust δείχνουν πώς ένας επιτιθέμενος, ξεκινώντας με έναν δωρεάν δοκιμαστικό tenant Azure, μπορεί να αναθέσει στον εαυτό του έναν ρόλο χρέωσης, να δεχτεί πρόσκληση επισκέπτη σε έναν στόχο-tenant και να δημιουργήσει μια συνδρομή υπό τον έλεγχό του με πλήρη δικαιώματα Ιδιοκτήτη. Αυτή η συνδρομή γίνεται στη συνέχεια μια βάση για κακόβουλες δραστηριότητες, παρακάμπτοντας τα αναμενόμενα όρια ασφαλείας των λογαριασμών επισκεπτών.
Προκλήσεις και Κίνδυνοι για τους Διαχειριστές
Η Microsoft έχει αναγνωρίσει αυτή τη συμπεριφορά ως προοριζόμενη, αναφέροντάς την ως χαρακτηριστικό για συνεργασία μεταξύ tenants, αλλά η έλλειψη περιορισμών opt-in αυξάνει τον κίνδυνο. Οι επιπτώσεις αυτής της ευπάθειας είναι βαθιές. Μόλις δημιουργηθεί μια συνδρομή, ο επιτιθέμενος μπορεί να απαριθμήσει διαχειριστές ομάδων διαχείρισης ριζών μέσω κληρονομούμενων αναθέσεων ρόλων IAM, αποκτώντας ορατότητα σε λογαριασμούς υψηλής αξίας για στοχευμένες επιθέσεις.
Στρατηγικές Άμυνας και Προστασίας
Για τους υπερασπιστές, η άμεση δράση είναι κρίσιμη. Η BeyondTrust συνιστά την επιβολή πολιτικών συνδρομής για να μπλοκάρουν τις μεταφορές επισκεπτών, την ενίσχυση και τον έλεγχο των λογαριασμών επισκεπτών και την παρακολούθηση των συνδρομών και των ειδοποιήσεων ασφαλείας για ασυνήθιστη δραστηριότητα. Εργαλεία όπως το BeyondTrust Identity Security Insights μπορούν να βοηθήσουν, επισημαίνοντας συνδρομές που δημιουργούνται από επισκέπτες και αξιολογώντας τους κινδύνους ταυτότητας.
Η Ανάγκη για Αναθεώρηση των Μοντέλων Απειλών
Αυτό το ζήτημα υπογραμμίζει την ευρύτερη ανάγκη για επανεξέταση των μοντέλων απειλών γύρω από την πρόσβαση επισκεπτών στο Entra ID, καθώς οι προεπιλεγμένες ρυθμίσεις επιτρέπουν ακούσια διαδρομές προς την αύξηση προνομίων. Με τους επιτιθέμενους να εκμεταλλεύονται ήδη αυτή την ευπάθεια, οι οργανισμοί πρέπει να δράσουν γρήγορα για να ασφαλίσουν τα περιβάλλοντά τους από αυτούς τους “ανήσυχους επισκέπτες” πριν πραγματοποιηθεί η πλήρης έκταση τέτοιων εκμεταλλεύσεων.
