ENTRA ortamınızdaki gizli riski dikkat edin

Konuk kullanıcılarını entra kimlik kiracınıza davet ederseniz, kendinizi şaşırtıcı bir riske açabilirsiniz.

Microsoft Entra’nın abonelik işlemesindeki erişim kontrolü boşluğu, konuk kullanıcılarının davet edildikleri kiracıya abonelik oluşturmalarına ve aktarmasına izin verirken, bunların tam mülkiyetini korur.

Tüm konuk kullanıcı ihtiyaçları, ev kiracılarında abonelikler oluşturma izinleri ve konuk kullanıcı olarak harici bir kiracıya davettir. İçeri girdikten sonra, konuk kullanıcı ev kiracılarında abonelikler oluşturabilir, dış kiracıya aktarabilir ve tam sahiplik haklarını koruyabilir. Bu gizli ayrıcalık yükseltme taktiği, bir konuk kullanıcının yalnızca sınırlı erişime sahip olması gereken bir ortamda ayrıcalıklı bir dayanak kazanmasını sağlar.

Birçok kuruluş, konuk hesaplarına geçici, sınırlı erişimlerine dayanarak düşük riskli olarak ele alınır, ancak tasarlandığı gibi çalışan bu davranış, bilinen saldırı yollarına ve kaynak kiracısı içindeki yanal hareketin kapısını açar. Bir tehdit oyuncusunun savunmacının Entra kimliğinde yetkisiz keşif ve kalıcılık elde etmesine ve belirli senaryolarda ilerleyen ayrıcalık artışına izin verebilir.

Tipik tehdit modelleri ve en iyi uygulamalar, kiracınız içinde kendi aboneliklerini oluşturan ayrıcalıklı bir konuktan oluşmaz, bu nedenle bu risk sadece kuruluşunuzun kontrolleri dışında olmayabilir; Güvenlik ekibinizin radarından da uzak olabilir.

Bir konuk kullanıcı hesabı ile entra kimlik kiracınızdan nasıl ödün verilir

Misafir yapımı abonelik tabanları, Microsoft’un faturalandırma izinlerinin (İşletme Sözleşmesi veya Microsoft Müşteri Sözleşmesi) Entra Dizini’ne değil faturalandırma hesabında kapsamlı olduğu gerçeğinden yararlanır. Çoğu güvenlik ekibi, Azure izinlerini entra dizin rolleri (küresel yönetici gibi) veya Azure RBAC rolleri (sahibi gibi) olarak düşünmektedir. Ancak gözden kaçan başka bir izin kümesi daha var: faturalandırma rolleri.

Entra Dizini ve Azure RBAC rolleri, kimlikler etrafındaki izinleri yönetmeye ve kaynaklara erişim yapmaya odaklanırken, faturalandırma rolleri, iyi anlaşılan Azure kiracı kimlik doğrulaması ve yetkilendirme sınırlarının dışında bulunan faturalandırma hesap düzeyinde çalışır. Doğru faturalandırma rolüne sahip bir kullanıcı, bir hedef kiracı içinde kontrol kazanmak için ev kiracılarından abonelikleri döndürebilir veya aktarabilir ve kesinlikle entra dizin rollerini denetleyen bir güvenlik ekibi, standart bir ENTRA izin incelemesinde bu aboneliklerin görünürlüğünü elde edemez.

Bir B2B konuk kullanıcısı bir kaynak kiracısına davet edildiğinde, kiracıya ev kiracılarından Federasyon aracılığıyla erişirler. Bu, maliyet tasarrufu sağlayan bir önlemdir, ödünleşim kiracınızın MFA gibi kimliği kontrollerini uygulayamayacağıdır. Bu nedenle, savunucular genellikle doğal olarak daha az güvenilir oldukları için konukların ayrıcalıklarını ve erişimi sınırlamaya çalışırlar. Ancak, konuğun ev kiracılarında geçerli bir faturalandırma rolü varsa, Azure içinde bir abonelik sahibi olmak için kullanabilirler.

Bu, bir saldırganın sadece birkaç dakika içinde dönebileceği hareketli Azure kiracılarında bulunan konuk kullanıcılar için de geçerlidir. Ve varsayılan olarak, konuklar da dahil olmak üzere herhangi bir kullanıcı harici kullanıcıları dizine davet edebilir. Bu, bir saldırganın çevrenize doğru faturalandırma izinleri olan bir kullanıcıya davet etmek için uzlaşmış bir hesaptan yararlanabileceği anlamına gelir.

Bir saldırganın nasıl düzensiz bir Entra Konuk Hesabı kullanarak nasıl yüksek erişim kazanabileceği:

1. Saldırgan, bir kiracının aboneliklerini / sahibini oluşturabilecek bir faturalandırma rolüne sahip bir kullanıcının kontrolünü alır:
   1. Azure ücretsiz deneme kullanarak kendi entra kiracılarını oluşturmak (kaydoldukları kullanıcı bir faturalandırma hesabı sahibi olacaktır)
   2. Veya zaten ayrıcalıklı bir faturalandırma rolü / abonelik sahipliği olan bir kiracıdaki mevcut bir kullanıcıyı tehlikeye atarak
2. Saldırgan, hedef entra kiracılarında konuk kullanıcı olmaya davet ediyor. Varsayılan olarak, herhangi bir kullanıcı veya misafir bir konuğu kiracıya davet edebilir.
3. Saldırgan Azure portalına oturum açar, tamamen kontrol ettikleri kendi ev dizine girer.
4. Saldırgan aboneliklere yönelir> Ekle +.
5. Saldırgan “Gelişmiş” sekmesine geçer ve savunmacının dizini hedef dizini olarak ayarlar.
6. Saldırgan abonelik oluşturur. Saldırgan kiracısında hiçbir abonelik görünmeyecek. Bunun yerine, abonelik kök yönetim grubu altında savunmacı kiracısında görünür.
7. Saldırgan otomatik olarak bu abonelik için “Sahibi” nin RBAC rolü atanacaktır.

Gerçek Dünya Risk: Yeni Bir Abonelikle Ne Huzursuz Konuk Yapabilir?

Bir saldırganın başka bir kuruluşun kiracısı içinde sahip izinleri olan bir aboneliği olduğunda, bu erişimi normalde sınırlı rolleri ile engellenecek eylemleri gerçekleştirmek için kullanabilirler. Bunlar şunları içerir:

• Kök Yönetimi Grubu Yöneticilerini Listeleme – Birçok kiracı yapılandırmasında, konuk kullanıcıların bir kiracı içindeki diğer kullanıcıları listeleme izinleri vardır; Ancak, konuk abonelik saldırısının ardından bu görünürlük mümkün olur. Konuk sahibi, oluşturdukları aboneliğe “Erişim Kontrolü” rol atamalarını görüntüleyebilir. Kiracının kök yönetim grubu düzeyinde atanan yöneticiler miras alınacak ve aboneliğin rol ödevleri görünümünde görünecek ve takip saldırıları ve sosyal mühendislik için ideal hedefler olan yüksek değerli ayrıcalıklı hesapların bir listesini ortaya çıkaracaktır.
• Aboneliğe bağlı varsayılan Azure politikasının zayıflatılması – Varsayılan olarak, tüm abonelikler (ve kaynakları), ihlaller meydana geldiğinde güvenlik standartlarını uygulamak ve uyarıları tetiklemek için tasarlanmış Azure politikalarına tabidir. Bununla birlikte, bir konuk abonelik sahibi olduğunda, abonelikleri için geçerli olan ve bunları değiştirebilen veya devre dışı bırakabilen tüm politikalara tam yazma izinleri vardır, aksi takdirde şüpheli veya uyumlu olmayan faaliyetleri savunan güvenlik uyarılarını etkili bir şekilde sustururlar. Bu, güvenlik izleme araçlarından görünürlüğü daha da azaltır ve saldırganın radar altında kötü niyetli faaliyetler veya harici sistemleri hedeflemesine izin verir.
• Entra ID dizininde kullanıcı tarafından yönetilen bir kimlik oluşturmak – Abonelik sahibi izinleri olan bir konuk kullanıcı, kullanıcı tarafından yönetilen bir kimlik, ENTRA dizininde yaşayan, ancak abonelikleri dahilinde bulut iş yükleriyle bağlantılı özel bir Azure kimliği oluşturabilir. Bu kimlik:
  • Orijinal konuk hesabından bağımsız olarak ısrar edin
  • Aboneliğin ötesinde roller veya izinler verilebilir
  • Meşru hizmet kimlikleriyle karıştırın, algılamayı zorlaştırır
  • Meşru yöneticileri bu yönetilen kimlik yükseltilmiş ayrıcalıkları vermek için kandırmak için hedeflenen bir API izin kimlik avı saldırısı başlatın.
• Microsoft Entra ile birleştirilmiş cihazların kaydedilmesi ve koşullu erişim politikalarının kötüye kullanılması – Azure, güvenilir cihazların kayıtlı olmasına ve Entra ID’ye katılmasına izin verir. Bir saldırgan cihazları kaçırılan aboneliğine kaydedebilir ve uyumlu kurumsal cihazlar olarak görünmesini sağlayabilir. Birçok kuruluş, cihaz durumuna göre otomatik atama rolleri veya erişim için dinamik cihaz gruplarını kullanır (örneğin, “Uyumlu dizüstü bilgisayarlardaki tüm kullanıcılar x’e erişir”). Bir cihazı taklit ederek veya kaydederek, bir saldırgan koşullu erişim politikalarını kötüye kullanabilir ve güvenilir varlıklara yetkisiz erişim sağlayabilir. Bu, bilinen bir dinamik grup istismarının cihaz tabanlı bir varyantını temsil eder^[1] daha önce kullanıcı nesnesi hedeflemesinde görüldü. BeyondTrust’un Kimlik Güvenlik Analizleri Ürünü, müşterilerin istemeden gizli olarak gösterilen benzer birçok yanlış yapılandırılmış dinamik grubu ortaya çıkarmasına yardımcı oldu. Privilege ™ Yolları.

Neden Konuk Abonelik Oluşturulması Entra Güvenliği İçin Artan Bir Kaynaktır?

Bu güncellenmiş tehdit modelinin gerçek sonuçlarını anlamak için daha fazla çalışma yapılması gerekse de, zaten bildiğimiz şey ilgilidir: Kiracınıza federe edilen herhangi bir konuk hesabı ayrıcalık yolunu temsil edebilir. Risk varsayımsal değildir. BeyondTrust’taki araştırmacılar, saldırganların vahşi doğada konuk temelli abonelik oluşturmayı aktif olarak kötüye kullandığını gözlemlediler. Tehdit mevcut, aktif ve buradaki gerçek tehlike, büyük ölçüde radarın altında olduğu gerçeğinde yatmaktadır.

Bu eylemler, çoğu Azure yöneticisinin bir konuk kullanıcının yapabilmesini beklediği şeyin dışına çıkar. Çoğu güvenlik ekibi, konuk kullanıcıların abonelik oluşturabildikleri ve kontrol edebilmelerini açıklamaz. Sonuç olarak, bu saldırı vektörü genellikle tipik Entra tehdit modellerinin dışına düşer ve bu yolu az tanınan, beklenmedik ve tehlikeli bir şekilde erişilebilir hale getirir.

Bu saldırı vektörü, ev ve kaynak kiracılarının genellikle farklı kuruluşlar tarafından kontrol edildiği B2B senaryolarında son derece yaygındır. Entra ID B2B konuk özelliklerinden yararlanan birçok kuruluştan, bu özelliğin yanlışlıkla sağladığı ayrıcalık yollarının farkında olmadığından şüpheleniyoruz.

Hiktarlamalar: Konuk Abonelik Hesaplarının Bir Tepe Kazanmasını Nasıl Önleyebilirim

Bu davranışı azaltmak için Microsoft, kuruluşların konukların abonelikleri kiracılarına aktarmasını engellemek için abonelik politikaları yapılandırmasına olanak tanır. Bu ayar, abonelik oluşturmayı yalnızca açıkça izin verilen kullanıcılara kısıtlar ve Microsoft destekleyici belgeleri yayınlamıştır^[2] Bu kontrol için.

Bu politikayı etkinleştirmenin yanı sıra, aşağıdaki eylemleri öneriyoruz:

1. Ortamınızdaki tüm konuk hesaplarını denetleyin ve artık gerekli olmayanları kaldırın
2. Harden Konuk Kontrolleri Mümkün olduğunca: Örneğin, Konuk-Guest Davetlerini Devre Dışı Bırak
3. Beklenmedik konuk oluşturulmuş abonelikleri ve kaynakları tespit etmek için kiracınızdaki tüm abonelikleri düzenli olarak izleyin
4. Azure portalındaki tüm güvenlik merkezi uyarılarını izleyin; görünürlük tutarsız olsa bile bazıları ortaya çıkabilir
5. Denetim cihazı erişimi, özellikle bunlar dinamik grup kurallarını kullanıyorsa.

Savunuculara yardımcı olmak için, BeyondTrust Kimlik Güvenlik Insights, konuk hesapları tarafından oluşturulan bayrak aboneliklerine yerleşik tespitler sağlar ve bu olağandışı davranışlarda otomatik görünürlük sağlar.

https://www.youtube.com/watch?v=fx4be79ftxy

BeyondTrust Kimlik Güvenlik Anlaşmaları Müşteriler, tüm kimlik dokularındaki tüm kimliklerin bütünsel bir görünümünü kazanabilirler. Bu, ENTRA konuk hesapları ve bunların gerçek ayrıcalığının konsolide bir anlayışını kazanmayı içerir.

Daha büyük resim: kimlik yanlış yapılandırmaları yeni istismarlardır

Konuk yapımı abonelik uzlaşması bir anomali değildir; Bu, yeterince ele alınmadığı takdirde modern kurumsal ortamını zayıflatabilen göz ardı edilen birçok kimlik güvenliği zayıflığının keskin bir örneğidir. Yanlış yapılandırmalar ve zayıf varsayılan ayarlar, ortamınıza gizli yolları arayan tehdit aktörleri için ana erişim noktalarıdır.

Artık güvenlik politikalarınıza dahil edilmesi gereken yönetici hesaplarınız değil. B2B güven modelleri, miras alınan faturalandırma hakları ve dinamik roller, her hesabın ayrıcalık artışı için potansiyel bir başlatma noktası olduğu anlamına gelir. Bu huzursuz konuklar yararlanmadan önce, konuk erişim politikalarınızı, görünürlük araçlarınızı ve abonelik yönetişim modellerinizi şimdi yeniden inceleyin.

Misafir erişimi yoluyla sunulanlar da dahil olmak üzere ortamınızda potansiyel kimlik tabanlı risklerin bir anlık görüntüsünü kazanmak için BeyondRUst, maliyetsiz bir kimlik güvenlik riski değerlendirmesi sunar.

Not: Bu makale ustalıkla yazılmış ve BeyondRrust Kıdemli Güvenlik Araştırmacısı Simon Maxwell-Stewart tarafından yazılmıştır. Simon Maxwell-Stewart, büyük veri ortamında on yılı aşkın deneyime sahip Oxford Üniversitesi fizik mezunudur. BeyondTrust’a katılmadan önce, sağlık hizmetlerinde lider veri bilimcisi olarak çalıştı ve çoklu makine öğrenimi projelerini başarıyla üretime getirdi. Şimdi BeyondTrust’un güvenlik araştırma ekibinde “yerleşik grafik nerd” olarak çalışan Simon, kimlik güvenlik yeniliğini artırmaya yardımcı olmak için grafik analizindeki uzmanlığını uyguluyor.