Tenga cuidado con los riesgos ocultos en el entorno Entra

Al invitar a los usuarios invitados a su inquilino Entra ID, puede abrirse a un riesgo sorprendente.

La brecha de control de acceso en el manejo de suscripción de Microsoft Entra permite a los usuarios invitados crear y transferir suscripciones a los inquilinos invitados, lo que les permite mantener la propiedad total de ellos.

Todas las necesidades de los usuarios de invitados son permiso para crear suscripciones en sus inquilinos e invitaciones caseras a inquilinos externos como usuarios invitados. Una vez dentro, los usuarios invitados pueden crear suscripciones en sus inquilinos caseros, transferirlos a inquilinos externos y retener la propiedad total. Esta táctica de escalada de privilegio de sigilo permite a los usuarios invitados obtener una base privilegiada en entornos con acceso limitado.

Si bien muchas organizaciones tratan las cuentas de los huéspedes como un riesgo de bajo riesgo basado en el acceso limitado temporal, este comportamiento que funciona como diseñado abre la puerta a las rutas de ataque conocidas y los movimientos laterales dentro de los inquilinos de recursos. Los actores de amenaza pueden lograr el reconocimiento y la persistencia fraudulentos en la ID de Entra del Defensor, lo que permite la escalada previa al privilegio en ciertos escenarios.

Este riesgo no solo existe fuera de los controles de la organización, ya que los modelos de amenazas típicos y las mejores prácticas no consideran a los invitados autorizados que crean sus propias suscripciones dentro del inquilino. El radar del equipo de seguridad también puede estar apagado.

Cómo comprometer a su inquilino Entra ID con una cuenta de usuario invitado

El andamio de las suscripciones hechas por invitados aprovecha el hecho de que la autoridad de facturación de Microsoft (acuerdos empresariales o acuerdos de clientes de Microsoft) se alcanza en una cuenta de facturación en lugar de en un directorio Entra. La mayoría de los equipos de seguridad consideran los permisos de Azure como el rol del Directorio Entra (como un administrador global) o como un rol de Azure RBAC (como un propietario). Sin embargo, hay otro conjunto de autoridad que se pasa por alto: el papel de facturación.

El rol de Directorio Entra y Azure RBAC se centra en la gestión de los permisos sobre la identidad y el acceso a los recursos, pero el rol de factura opera a nivel de cuenta de facturación que reside fuera de los límites de autenticación y autorización de inquilinos de Azure bien entendidos. Los usuarios con el rol de facturación apropiado pueden girar o transferir suscripciones de sus inquilinos caseros para obtener el control dentro del inquilino objetivo. Además, los equipos de seguridad que auditan estrictamente el papel del directorio Entra no obtendrán visibilidad para estas suscripciones con revisiones estándar de permiso de Entra.

Cuando se invita a un usuario invitado de B2B a un inquilino de recursos, se accederá al inquilino a través del inquilino federal desde el inquilino casero. Esta es una medida de ahorro de costos, y la compensación es que los inquilinos no pueden hacer cumplir los controles de autenticación como MFA. Por lo tanto, los defensores generalmente intentan restringir los privilegios y el acceso, ya que los invitados no pueden asegurar. Sin embargo, si un invitado tiene una factura válida en su inquilino casero, puede usarla para convertirse en propietario de suscripción en Azure.

Esto se aplica a los usuarios invitados en los inquilinos de la Marina de Paygogo, donde los atacantes pueden girar en solo unos minutos. Además, de forma predeterminada, todos los usuarios, incluidos los invitados, pueden invitar a los usuarios externos al directorio. Esto significa que los atacantes pueden aprovechar las cuentas comprometidas e invitar a los usuarios con la autoridad de facturación correcta en su entorno.

Cómo un atacante puede usar una cuenta de invitado de ENTRA no privia para aumentar el acceso:

El atacante obtiene el control de un usuario con el papel de la factura que puede crear suscripción/propietario para las suscripciones de los inquilinos, de la siguiente manera: AzureFreetrial (el usuario se registra como el propietario de una cuenta de facturación se convertirá en el atractivo agente de facturación al compromiso de los usuarios existentes que ya están infringiendo a los usuarios existentes y los usuarios existentes. Por defecto, los usuarios o los invitados pueden invitar a los invitados a inquilinos. Directorio.

Riesgo del mundo real: qué nuevas suscripciones pueden ayudar a los invitados inquietos

Si un atacante tiene una suscripción con privilegios de propiedad dentro de un inquilino de otra organización, puede usar ese acceso para realizar acciones que normalmente están bloqueadas por un papel limitado. Estos incluyen:

Lista de administradores del grupo de gestión de rutas: en muchas configuraciones de inquilinos, los usuarios invitados tienen cero permisos para enumerar a otros usuarios en el inquilino. Sin embargo, después de los ataques de suscripción de invitados, su visibilidad se vuelve posible. Los propietarios invitados pueden ver las asignaciones de roles de control de acceso en las suscripciones que crean. Los administradores asignados a nivel de grupo de gestión de rutas del inquilino se heredan y muestran en la vista de asignación de roles de suscripción, publicando una lista de cuentas privilegiadas de gran valor que son objetivos ideales para ataques posteriores e ingeniería social. Débil La política de Azure predeterminada asociada con una suscripción: por defecto, todas las suscripciones (y sus recursos) cumplen con las políticas de Azure diseñadas para hacer cumplir los estándares de seguridad y activar alertas cuando ocurre una violación. Sin embargo, una vez que un invitado se convierte en propietario de una suscripción, se aplica a la suscripción y tiene permisos de escritura completos a todas las políticas que les permiten ser modificados o deshabilitados, apagando de manera efectiva alertas de seguridad que de otro modo notificarán al defensor de una actividad sospechosa o no conforme. Esto reduce aún más la visibilidad de las herramientas de monitoreo de seguridad, lo que permite a los atacantes realizar actividades maliciosas y apuntar a sistemas externos bajo radar. Creación de una identidad administrada por el usuario en el directorio de ID de ENTRA: los usuarios invitados con permisos del propietario de suscripción pueden crear una ID administrada por el usuario. Vive en el directorio Entra, pero está vinculado a la carga de trabajo de la multitud dentro de la suscripción. Esta identidad es: independientemente de la cuenta de invitado original, se le otorgan roles o permisos más allá de la suscripción y más allá de la mezcla, lanzando la detección de manera más estricta, engañando a los administradores legítimos y otorgándole los mayores privilegios de esta identidad administrada. Microsoft Entra registró dispositivos y abusa de la política de acceso condicional: Azure permite que los dispositivos confiables se registren y se unan a Entra IDS. Un atacante puede registrar un dispositivo bajo una suscripción secuestrada y mostrarlo como un dispositivo corporativo compatible. Muchas organizaciones usan grupos de dispositivos dinámicos para usar roles automáticos de asignación o acceso en función del estado del dispositivo (por ejemplo, «todos los usuarios en computadoras portátiles compatibles pueden acceder a X»). Al falsificar o registrar dispositivos, los atacantes pueden explotar las políticas de acceso condicional y obtener acceso no autorizado a activos de confianza. Esto representa una variante basada en dispositivos de una exploit de grupo dinámico conocido (1) previamente visto en la orientación del objeto de usuario. Los productos de Identity Security Insights de Trust han ayudado a revelar a los clientes con muchos grupos dinámicos igualmente incomprendidos que exponen involuntariamente caminos ocultos a Privilege ™.

Por qué crear una suscripción de invitado es una creciente preocupación sobre la seguridad de Entra

Se necesita más trabajo para comprender el verdadero significado de este modelo de amenaza actualizada, pero lo que ya sabemos es una preocupación. El riesgo no es hipotético. Los investigadores de Beyond Trust han observado que los atacantes abusan activamente de la creación de suscripciones basadas en huéspedes en la naturaleza. La amenaza está presente y activa, y el verdadero peligro aquí radica en el hecho de que está principalmente bajo el radar.

Estas acciones están fuera de lo que la mayoría de los administradores de Azure esperan que hagan los usuarios invitados. La mayoría de los equipos de seguridad no consideran que los usuarios invitados puedan crear y controlar suscripciones. Como resultado, este vector de ataque a menudo está fuera del modelo típico de amenaza de Entrra, lo que hace que este camino sea un privilegio no reconocido, inesperado, peligroso y accesible.

Este vector de ataque es muy común en los escenarios B2B. En escenarios B2B, las diferentes organizaciones a menudo controlan los inquilinos en el hogar y los recursos. Muchas organizaciones que aprovechan la funcionalidad invitada de Entra Id B2B parecen desconocer el posible camino hacia los privilegios que esta característica permite inadvertidamente.

Mitigación: cómo evitar que las cuentas de suscripción de invitados ganen equilibrio

Para mitigar este comportamiento, Microsoft permite a las organizaciones configurar las políticas de suscripción para impedir que los invitados transfieran suscripciones a los inquilinos. Esta configuración restringe la creación de suscripción y solo usuarios explícitamente autorizados, y Microsoft ha publicado la documentación de soporte (2) para este control.

Además de habilitar esta política, recomendamos las siguientes acciones:

Audite a todas las cuentas de invitados en su entorno y elimine los controles de invitados innecesarios siempre que sea posible. Por ejemplo, deshabilite las invitaciones de invitados, monitoree periódicamente todas las suscripciones de los inquilinos para detectar suscripciones inesperadas de creación de invitados, y los recursos monitorean todas las alertas de centros de seguridad en el portal de Azure. Si la visibilidad es acceso inconsistente del dispositivo de auditoría, algunas personas pueden verlo, especialmente si utilizan reglas de grupo dinámico.

Para ayudar a los defensores, la seguridad de la identidad de la confianza Insights proporciona una detección incorporada a las suscripciones de indicadores creadas por las cuentas de invitados, proporcionando visibilidad automatizada en estos comportamientos anómalo.

Los clientes de Identity Identity Security Insights obtienen una visión holística de todas sus identidades en su tejido de identidad. Esto incluye obtener una comprensión integrada de la cuenta de Invitados de Entra y sus verdaderos privilegios ™.

Gran imagen: los conceptos erróneos de identidad son nuevas exploits

Los compromisos de suscripción hechos por el invitado no son inusuales. Este es un duro ejemplo de muchas debilidades de seguridad de identidad a menudo pasadas por alto que, si no se abordan correctamente, plantean una violación del entorno empresarial actual. La falsa escasez y la configuración predeterminada débil son los principales puntos de acceso para los actores de amenaza que buscan rutas ocultas a su entorno.

Las cuentas de administrador no son las únicas que deben incluirse en su política de seguridad. El modelo de confianza B2B, las afirmaciones hereditarias y los roles dinámicos significan que todas las cuentas son puntos de lanzamiento potenciales para la escalada de privilegios. Revise las políticas de acceso a los invitados, las herramientas de visibilidad y los modelos de gobernanza de suscripción ahora antes de que estos invitados inquietos puedan usarlo.

Para capturar instantáneas de riesgos potenciales basados ​​en la identidad en su entorno, incluidas las introducidas a través del acceso de los huéspedes, la confianza proporciona evaluaciones de riesgo de seguridad de identidad sin costos.

Nota: Este artículo es hábilmente escrito y contribuido por Simon Maxwell-Stewart, investigador de seguridad senior en Beyond Trust. Simon Maxwell-Stewart es un graduado de física de la Universidad de Oxford y tiene más de 10 años de experiencia en entornos de big data. Antes de unirse a Trust Beyond, trabajó como científico de datos líder en atención médica, llevando con éxito múltiples proyectos de aprendizaje automático a la producción. Actualmente trabajando como un «nerd de grap residente» con el equipo de investigación de seguridad más allá de Trust, Simon aplica su experiencia en análisis de gráficos para impulsar la innovación en la seguridad de la identidad.