BeyondTrust’taki siber güvenlik araştırmacıları, Microsoft’un Entra Kimlik Platformu’ndaki az bilinen ama tehlikeli bir konu hakkında uyarıyorlar. Sorun gizli bir hata veya gözden kaçan güvenlik açığı değil; Saldırganların kullanabileceği tasarıma göre sistemde yer alan bir özellik.
Sorun şu ki, bir kuruluşun Azure Kiracına davet edilen konuk kullanıcılar, orada herhangi bir doğrudan yönetici ayrıcalığı olmadan bu kiracının içinde abonelikler oluşturabilir ve aktarabilir. Bir kez yaptıklarında, bu abonelik üzerinde “sahip” hakları kazanırlar ve birçok Azure yöneticisinin asla düşünemeyeceği şaşırtıcı bir saldırı fırsatı seti açarlar.
Perde arkasında neler oluyor
Kuruluşlar sık sık harici ortakları veya işbirlikçilerini Azure ortamlarına “konuk kullanıcılar” olarak davet ederler. Tipik olarak, bu konuklara hesapları tehlikeye atılırsa hasarı önlemek için sınırlı erişim verilir. Ancak BeyondTrust’un hackread.com ile paylaşılan bulguları, belirli koşullar altında, bu konukların bu ortamda açık izinler olmadan bile ana kiracı içindeki tüm Azure aboneliklerini döndürebileceğini ortaya koyuyor.
Nasıl? Her şey Microsoft’un faturalandırma izinlerine geliyor. Konuk ev kiracılarında belirli faturalandırma rolleri tutarsa (örneğin, ücretsiz bir deneme hesabı oluşturdular), bu yetkiliyi abonelik oluşturmak ve daha sonra davet edildikleri diğer kiracılara taşımak için kullanabilirler. Bunu yaparak, bu aboneliklerin etkili bir şekilde “sahipleri” olurlar ve hedeflenen kiracı içindeki kaynaklar üzerinde geniş kontrol elde ederler.
Microsoft, bu aboneliklerin konuk faturasında kaldığını ve bu tür transferleri önlemek için mevcut (ancak default olmayan) kontroller olduğunu belirterek bunun amaçlanan davranış olduğunu doğruladı. Yine de, güvenlik sonuçları önemlidir.
Geldiğini görmediğin ayrıcalık
Bir konuk Azure Kiracınız içinde abonelik sahibi olduğunda, kimin gerçekten sorumlu olduğunu belirleme, güvenlik izlemesini devre dışı bırakma, kalıcı arka fırın oluşturma ve Cihaz Trust’ı kötüye kullanma da dahil olmak üzere çeşitli gelişmiş özelliklerin kilidini açarlar.
Bu saldırı yolları mevcuttur, çünkü faturalandırma rolleri ve kaynak izinleri ayrı parçalarda çalışır ve tipik rol tabanlı erişim kontrolü (RBAC) modelleri kapsamında olmayan bir örtüşme oluşturur.
Gerçek Dünya Saldırı Adımları
BeyondTrust araştırmacıları, bir saldırganın pratikte bu konuyu nasıl kullanabileceğini gösterdi. Bir saldırgan, otomatik olarak faturalandırma yetkisi veren ücretsiz bir deneme kullanarak kendi Azure kiracılarını kurarak başlayabilir.
Hedef kiracıya misafir olarak davet edildikten sonra, Azure portalına giriş yapabilir ve hedef kiracıyı hedef olarak seçerek gelişmiş ayarları kullanarak yeni bir abonelik oluşturabilirler. Saldırgan, bu kiracıda yönetici onayına ihtiyaç duymadan yeni abonelik üzerinden tam olarak erişimi kazanır ve kötüye kullanım tekniklerini ayrıcalıklı hale getirmek için kapıyı açar.
“Microsoft’un burada yarattığı özellik mantıklı: bazı kuruluşların birçok kiracısı var ve bir ev dizini olan kullanıcıların diğerlerinde abonelik oluşturmaları gerektiği durumlarda var. Sorun varsayılan davranışta yatıyorsa: Bu yetenek, eğer konuklar, konuklar varsayılan olarak abonelik oluşturma, risk önemli ölçüde azaltılacaktır ve bu, güvenlik endişesi vermeyecektir.”
Simon Maxwell-Stewart, SR Veri Mühendisi-BeyondTrust
Microsoft’un pozisyonu
Microsoft, bunun konukların bazen kaynak yaratmaları gereken karmaşık çok kiracılı kurulumları desteklemek için amaçlanan davranış olduğunu belirtti. Bu transferleri engelleyebilecek abonelik politikaları sağlarlar, ancak bu kontroller varsayılan olarak kapalıdır.
Siber güvenlik ekipleri için bu, riskin net bir şekilde hareket edene kadar aktif kaldığı anlamına gelir. BeyondTrust, konuk liderliğindeki transferleri engelleyen abonelik politikalarının etkinleştirilmesi, konuk hesaplarını düzenli olarak denetleme ve kullanılmayan veya gereksiz olanları kaldırma da dahil olmak üzere pozlamayı azaltmak için birkaç önemli adım önerir.
Saldırganların daha fazla saldırı için sanal makineler veya cihazlar kullanmasını önlemek için, olağandışı veya beklenmedik konuk oluşturulan kaynaklar için abonelikleri yakından izleyin ve dinamik grup kurallarını ve cihaz güven politikalarını dikkatle inceleyin.