Exploit d'un attaquant émergent : Synchronisation inter-locataires de Microsoft

1er août 2023
Arpan Sarkar
Ingénieur principal en sécurité
Exploit d'un attaquant émergent : Synchronisation inter-locataires de Microsoft

Vectra Research a récemment découvert une méthode permettant de tirer parti d'une fonctionnalité récemment mise en place par Microsoft pour effectuer un déplacement latéral vers un autre locataire de Microsoft.

Résumé

  • Vectra Research a identifié un nouveau vecteur d'attaque contre Azure Active Directory qui permet un mouvement latéral vers d'autres locataires de Microsoft.
  • Vectra démontre également la technique pour maintenir l'accès persistant dans un locataire Azure, décrite pour la première fois ici.
  • La fonctionnalité sous-jacente pour l'exécution de ce vecteur d'attaque existe dans chaque déploiement de Microsoft.
  • Ce vecteur d'attaque suit des vecteurs d'attaque similaires connus comme l'utilisation abusive de la fédération de domaines ou l'ajout d'une entreprise partenaire, ce qui nécessite une surveillance active pour la détection et la réponse.
  • Vectra a publié un POC pour les tests de sécurité dans le cadre de l'attaque MAAD(open-source).
  • Vectra a validé que les détections d'IA de Vectra couvrent cette opération avant de documenter les techniques dans ce rapport.

Introduction

Les attaquants continuent de cibler les identités Microsoft pour accéder aux applications Microsoft connectées et aux applications SaaS fédérées. En outre, les attaquants continuent de faire progresser leurs attaques dans ces environnements, non pas en exploitant des vulnérabilités, mais en abusant des fonctionnalités natives de Microsoft pour atteindre leur objectif. Le groupe d'attaquants Nobelium, lié aux attaques de SolarWinds, a été documenté en train d'utiliser des fonctionnalités natives comme la création de Federated Trusts [4] pour permettre un accès persistant à un locataire Microsoft.

Dans ce billet de blog, nous allons démontrer une fonctionnalité native supplémentaire qui, lorsqu'elle est exploitée par un attaquant, permet un accès persistant à un locataire Microsoft cloud et des capacités de déplacement latéral vers un autre locataire. Ce vecteur d'attaque permet à un attaquant opérant dans un locataire compromis d'abuser d'une mauvaise configuration de la synchronisation inter-locataires (CTS) et d'accéder à d'autres locataires connectés ou de déployer une configuration CTS erronée pour maintenir la persistance au sein du locataire.

Nous n'avons pas observé l'utilisation de cette technique dans la nature, mais étant donné l'abus historique d'une fonctionnalité similaire, nous présentons des détails pour que les défenseurs comprennent comment l'attaque se présenterait et comment surveiller son exécution. En outre, ce blog examine la façon dont les clients de Vectra bénéficient actuellement d'une couverture - et ont bénéficié d'une couverture dès le premier jour de la mise à disposition de cette technique grâce à nos détections basées sur l'IA et à Vectra Attack Signal IntelligenceTM.

Synchronisation entre locataires

CTS est une nouvelle fonctionnalité de Microsoft qui permet aux organisations de synchroniser les utilisateurs et les groupes d'autres locataires sources et de leur accorder l'accès aux ressources (applications Microsoft et non Microsoft) dans le locataire cible. Les fonctionnalités CTS s'appuient sur les configurations de confiance B2B précédentes, permettant une collaboration automatisée et transparente entre les différents locataires, et c'est une fonctionnalité que de nombreuses organisations chercheront à adopter. [2][3]

Schémas de synchronisation entre locataires

Le CTS est une fonctionnalité puissante et utile pour les organisations telles que les conglomérats d'entreprises avec plusieurs locataires dans des sociétés affiliées, mais il ouvre également la voie à des attaques potentielles de reconnaissance, de mouvement latéral et de persistance par des acteurs malveillants s'il n'est pas configuré et géré correctement. Nous discuterons des risques potentiels et des voies d'attaque que les adversaires peuvent utiliser pour exploiter le CTS afin d'abuser des relations de confiance entre un locataire potentiellement compromis et tout autre locataire configuré avec une relation de confiance CTS. 

  • CTS permet de synchroniser (ajouter) des utilisateurs d'un autre locataire dans un locataire cible.
  • Une configuration CTS peu rigoureuse peut être exploitée pour passer latéralement d'un locataire compromis à un autre locataire de la même organisation ou d'une organisation différente.
  • Une configuration CTS malveillante peut être déployée et utilisée comme technique de porte dérobée pour maintenir l'accès à partir d'un locataire Microsoft contrôlé par un adversaire externe.

Compromis présumé !

Les techniques d'exploitation suivent la philosophie de la compromission présumée. Les techniques utilisées dans ces exploits supposent qu'une identité a été compromise dans un environnement Microsoft cloud . Dans le monde réel, cela pourrait provenir d'un navigateur compromis sur un site endpoint géré par Intune avec une identité gérée par Microsoft.

Terminologie

tableau des terminologies

Le facilitateur

Ce qu'il faut savoir sur la configuration du CTS : 

L'attaque

Les techniques d'attaque décrites dans ce blog nécessitent certaines licences et la compromission d'un compte privilégié ou l'escalade des privilèges vers certains rôles dans le locataire compromis. Un rôle d'administrateur global peut effectuer toutes ces actions dans un locataire. [2]

Tableau d'attaque

Technique 1 : Mouvement latéral

Un attaquant opérant dans un environnement compromis peut exploiter un locataire de configuration CTS existant pour se déplacer latéralement d'un locataire à un autre locataire connecté.

Schémas d'attaque par mouvement latéral
Figure 1 : Vue d'ensemble de l'attaque par mouvement latéral

  1. L'attaquant accède au locataire compromis. 
  2. L'attaquant étudie l'environnement afin d'identifier les locataires cibles connectés par le biais des politiques d'accès croisé déployées.

capture d'écran d'ordinateur

  1. L'attaquant examine la configuration de la politique d'accès inter-locataires pour chaque locataire connecté afin d'identifier celui pour lequel l'option "Outbound Sync" est activée. La politique CTA avec Outbound Sync activé permet aux utilisateurs et aux groupes du locataire actuel d'être synchronisés dans le locataire cible.

capture d'écran d'ordinateur

  1. À partir de l'analyse de la configuration de la politique CTA, l'attaquant trouve un locataire connecté avec Outbound Sync activé et définit le locataire comme cible pour un mouvement latéral.

capture d'écran d'ordinateur

  1. Après avoir identifié l'application de synchronisation CTS, l'attaquant peut modifier sa configuration pour ajouter le compte utilisateur actuellement compromis à la portée de synchronisation de l'application. Cela synchronisera le compte utilisateur compromis dans le locataire cible et permettra à l'attaquant d'accéder au locataire cible en utilisant les mêmes informations d'identification compromises au départ.

capture d'écran d'ordinateur

  1. Si aucune condition explicite de réception d'un CTA ne bloque la synchronisation dans le locataire cible, le compte compromis sera synchronisé dans le locataire cible.
  2. L'attaquant se déplace latéralement dans le locataire cible en utilisant le même compte initialement compromis.

Technique 2 : Porte dérobée

Un attaquant opérant dans un locataire compromis peut déployer une configuration d'accès inter-locataires erronée pour maintenir un accès permanent.

schémas d'attaque de porte dérobée
Figure 2 : Vue d'ensemble de l'attaque de la porte dérobée CTS

  1. L'attaquant accède au locataire compromis.
  1. L'attaquant peut maintenant synchroniser les nouveaux utilisateurs de son locataire via push vers le locataire cible victime à tout moment dans le futur. Cela permet à l'attaquant d'accéder à l'avenir aux ressources du locataire cible à l'aide du compte contrôlé de l'extérieur.

Défense

Vectra Clients :

Le portefeuille d'alertes existant de Vectra est capable de détecter cette activité avant même de comprendre l'implication des opérations ainsi que les actions prévues avant cet événement.

Le fait que cette technique n'exploite aucune vulnérabilité réelle la rend plus difficile à prévenir une fois qu'un adversaire se trouve dans l'environnement avec des privilèges suffisants. Cependant, les détections pilotées par l'IA de Vectra ont été conçues pour détecter ces types de scénarios d'abus de privilèges sans avoir à s'appuyer sur des signatures ou des listes d'opérations connues.

Azure AD Privilege Operation Anomaly de Vectra surveille la valeur sous-jacente de chaque opération dans l'environnement et de chaque utilisateur. L'IA crée en permanence une base de référence des types d'actions qui devraient se produire dans l'environnement et identifie les cas d'abus de privilèges basés sur cloud. En se concentrant sur le comportement de l'abus de privilèges, Vectra est capable d'identifier des techniques émergentes telles que celle documentée ici.

capture d'écran d'ordinateur
Figure 3 : Compte compromis déployant une politique d'accès inter-locataires dans le locataire compromis

capture d'écran d'ordinateur
Figure 4 : Compte compromis permettant la synchronisation entrante dans le locataire

capture d'écran d'ordinateur
Figure 5 : Compte compromis activant le rachat automatique du consentement de l'utilisateur

Les actions de l'attaquant qui se produisent avant l'attaque, comme l'accès au compte après un vol de jeton ou d'autres formes de compromission du compte, seraient signalées par des détections de Vectra telles que Azure AD Unusual Scripting Engine Usage, Azure AD Suspicious Sign-on ou Azure AD Suspicious OAuth Application.

Test de sécurité Microsoft Cloud

Tester régulièrement et efficacement les environnements est le meilleur moyen d'être sûr de sa capacité à se défendre contre les cyberattaques. MAAD-Attack Framework est un outil d'émulation d'attaques open-source qui combine les techniques d'attaque les plus couramment utilisées et permet aux équipes de sécurité de les émuler rapidement et efficacement dans leurs environnements via un simple terminal interactif. Consultez MAAD-AF sur GitHub ou apprenez-en plus à son sujet ici

Les équipes de sécurité peuvent utiliser le module MAAD-AF "Exploit Cross Tenant Synchronization" pour émuler et tester les techniques d'exploitation CTS dans leur environnement.

Références :

  1. https://learn.microsoft.com/en-us/azure/active-directory/external-identities/cross-tenant-access-overview
  2. https://learn.microsoft.com/en-us/azure/active-directory/multi-tenant-organizations/cross-tenant-synchronization-overview
  3. https://invictus-ir.medium.com/incident-response-in-azure-c3830e7783af
  4. https://attack.mitre.org/techniques/T1484/002

Foire aux questions

Quel est le vecteur d'attaque récemment découvert contre Azure Active Directory ?

Le vecteur d'attaque exploite la fonction de synchronisation entre locataires de Microsoft (CTS) pour effectuer un déplacement latéral vers un autre locataire de Microsoft. Cette méthode abuse de la fonctionnalité native de Microsoft pour synchroniser les utilisateurs et les groupes entre les locataires, ce qui permet potentiellement aux attaquants d'obtenir un accès persistant aux locataires connectés.

Quels sont les risques potentiels associés au SCC ?

Des CTS mal configurés peuvent permettre aux attaquants de se déplacer latéralement d'un locataire compromis à un autre locataire, ou de déployer une configuration CTS malveillante pour maintenir un accès persistant. Cela peut conduire à un accès non autorisé à des données et des systèmes sensibles dans plusieurs locataires.

Qu'est-ce que le mouvement latéral et comment le CTS permet-il de l'obtenir ?

Le mouvement latéral implique qu'un attaquant navigue à travers des réseaux ou des systèmes compromis pour obtenir l'accès à des ressources supplémentaires. Grâce à CTS, un attaquant peut exploiter les configurations de synchronisation existantes pour passer d'un locataire à un autre locataire connecté, élargissant ainsi son accès.

Quelles sont les capacités de détection de Vectra pour ce vecteur d'attaque ?

Les détections de Vectra basées sur l'IA, telles que Azure AD Privilege Operation Anomaly, surveillent les activités anormales et les scénarios d'abus de privilèges. Ces détections se concentrent sur l'analyse du comportement plutôt que sur les signatures, ce qui leur permet d'identifier des techniques émergentes telles que l'exploit CTS.

Comment les organisations peuvent-elles tester leurs défenses contre l'exploitation des STC ?

Les organisations peuvent utiliser des outils tels que le cadre d'attaque MAAD pour émuler et tester les techniques d'exploitation CTS. Des tests réguliers et efficaces permettent de s'assurer que les défenses sont capables de détecter et d'atténuer ces attaques.

Comment fonctionne la synchronisation inter-locataires (CTS) ?

CTS permet aux organisations de synchroniser les utilisateurs et les groupes d'autres locataires sources et de leur accorder l'accès aux ressources du locataire cible. Cela facilite la collaboration entre les différents locataires, mais entraîne également des risques potentiels pour la sécurité s'ils ne sont pas correctement gérés.

Quelles sont les conditions préalables nécessaires pour qu'un attaquant puisse exploiter les CTS ?

Un attaquant doit compromettre un compte privilégié dans un environnement Microsoft cloud , tel qu'un rôle d'administrateur global, pour effectuer les actions nécessaires à un mouvement latéral ou à un accès persistant. Cela suppose souvent qu'une identité initiale a déjà été compromise.

Comment une configuration CTS erronée peut-elle être utilisée comme porte dérobée ?

En déployant une configuration CTS malveillante, un attaquant peut synchroniser les nouveaux utilisateurs d'un locataire contrôlé par l'adversaire avec un locataire victime ciblé. Cela permet à l'attaquant de maintenir l'accès futur en utilisant les comptes synchronisés, créant ainsi une porte dérobée dans le locataire cible.

Quelles sont les capacités de détection de Vectra pour ce vecteur d'attaque ?

Comme ce vecteur d'attaque exploite des fonctionnalités natives plutôt que des vulnérabilités, les méthodes de prévention traditionnelles sont moins efficaces. La surveillance continue et la détection active permettent d'identifier rapidement les activités suspectes, ce qui permet de réagir à temps aux menaces potentielles.

Que doivent faire les équipes de sécurité pour atténuer les risques associés aux STC ?

Les équipes de sécurité doivent s'assurer de la bonne configuration et gestion des paramètres CTS, revoir et mettre à jour régulièrement les politiques de synchronisation, et utiliser des plateformes avancées de détection et de réponse aux menaces. La mise en œuvre des détections pilotées par l'IA de Vectra peut améliorer leur capacité à identifier et à répondre aux scénarios d'abus de privilèges.

En comprenant et en traitant les risques associés aux CTS, les organisations peuvent mieux protéger leurs environnements Microsoft cloud contre les menaces persistantes avancées et les attaques par mouvement latéral.