BeyondTrust’taki güvenlik araştırmacıları tarafından yapılan yeni bir keşif, harici konuk kullanıcıların Azure ortamları üzerinde güçlü kontrol kazanmasına izin verebilecek kritik, ancak tasarım, güvenlik açığı açığı ortaya koydu.
Ortak varsayımların aksine, tipik olarak harici ortaklarla işbirliği için kullanılan ENTRA B2B konuk hesapları, Azure aboneliklerini bu ortamda açık idari ayrıcalıklar olmasa bile, Azure aboneliklerini bir hedef kiracıya oluşturmak ve aktarmak için belirli faturalandırma rollerinden yararlanabilir.
Bu davranış bir yazılım hatasının sonucu değil, Microsoft’un faturalandırma ve abonelik yönetimini nasıl denetlediğinden kaynaklanmaktadır.
.png
)
Bir konuk kullanıcı, ev kiracılarında “Fatura Hesabı Sahibi” veya “Hesap Sahibi” gibi bir faturalandırma rolüne sahipse, bu yetkiliyi yeni abonelikleri döndürmek ve misafir oldukları diğer kiracılara taşımak için kullanabilirler.
Abonelik hedef kiracıda oluşturulduktan sonra, konuk otomatik olarak bu aboneliğin “sahip” rolünü kazanır ve bir dizi potansiyel saldırı vektörünü açar.
Temel teknik terimler ve roller
- Entra Kimliği: Microsoft’un bulut tabanlı kimlik sağlayıcısı, daha önce Azure Active Directory olarak biliniyor.
- B2B Konuk Hesabı: Harici bir kullanıcı, işbirliği için bir kuruluşun entra kiracısına davet edildi.
- RBAC (Rol Tabanlı Erişim Kontrolü): Kullanıcıların Azure kaynakları üzerinde hangi eylemleri gerçekleştirebileceklerini yöneten sistem.
- Faturalandırma rolleri: Azure aboneliklerini kimin oluşturabileceğini ve yönetebileceğini kontrol eden özel roller, RBAC’den ayrı.
- Abonelik sahibi: Azure aboneliği üzerinde tam idari haklara sahip kullanıcı.
Azure Faturalandırma
| Faturalandırma rolü | Bir abonelik oluşturabilir miyim? | Kontrol kapsamı |
|---|---|---|
| Kurumsal yönetici | Evet | EA’nın tüm yönleri |
| Hesap Sahibi (EA) | Evet | Abonelik |
| Faturalandırma Hesabı Sahibi (MCA) | Evet | Faturalandırma hesabı |
| Fatura Profili Sahibi (MCA) | Evet | Faturalandırma profili |
| Fatura Bölümü Sahibi (MCA) | Evet | Fatura bölümü |
| Azure Abonelik Yaratıcısı | Evet | Abonelik |
| Faturalandırma Hesabı Okuyucu | HAYIR | Salt okunur |
| Fatura Yöneticisi | HAYIR | Yalnızca Faturaları Görüntüle/Ödeme |
[Source: BeyondTrust Research]1
Kötü niyetli bir konuk ne yapabilir
Bir konuk kullanıcı abonelik sahibi haline geldiğinde, bu abonelik içindeki kaynaklar üzerinde geniş idari kontrol elde ederler.
Bu erişim, tipik güvenlik beklentilerini atlayan birkaç gelişmiş saldırı tekniği sağlar:
- Keşif: Konuk, IAM (Kimlik ve Erişim Yönetimi) ayarlarını aboneliklerine inceleyerek ayrıcalıklı kullanıcıları numaralandırabilir ve yöneticilerin kök yönetim grubu düzeyinde adlarını ve rollerini ortaya çıkarabilir.
- Politika manipülasyonu: Sahibi olarak konuk, aboneliğe bağlı Azure politikalarını değiştirebilir veya devre dışı bırakabilir, güvenlik uyarılarını potansiyel olarak susturabilir ve uyumluluk kontrollerini atlayabilir.
- Yönetilen kimlikler yoluyla kalıcılık: Saldırgan, konuk hesabı kaldırıldıktan sonra bile Entra ID dizininde devam eden kullanıcı tarafından yönetilen kimlikler (hizmet müdürleri) oluşturabilir. Bu kimlikler devam eden erişim veya daha fazla ayrıcalık artışı için kullanılabilir1.
- Cihaz Güven İstismarı: Azure VM’leri entra tarafından birleştirilmiş cihazlar olarak kaydederek, saldırgan cihaz tabanlı koşullu erişim politikalarını manipüle edebilir ve potansiyel olarak hassas kaynaklara yetkisiz erişim kazanabilir1.
Bloklu B2B konuk kullanıcılarını tespit etmek için kusto sorgusu
text// Detect B2B guest users blocked in our tenant due to risk in their home tenant
let DAYS = 365d;
let HOMETENANTID = 'XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXX';
SigninLogs
| where TimeGenerated > ago(DAYS)
| where HomeTenantId != HOMETENANTID
| where ResultType == 530032
| join kind=leftouter (
SigninLogs
| where TimeGenerated > ago(DAYS)
| where HomeTenantId != HOMETENANTID
| where ResultType == 0
| project UserPrincipalName2=UserPrincipalName, TimeGenerated2=TimeGenerated
) on $left.UserPrincipalName == $right.UserPrincipalName2
| summarize LastError = max(TimeGenerated), LastSignIn = max(TimeGenerated2) by UserPrincipalName
| sort by LastError desc
Gizli tehdide karşı savunmak
Microsoft, konukların abonelik oluşturması gereken meşru çok kiracılı senaryolara atıfta bulunarak bu davranışı amaçlandığı gibi kabul eder.
Ancak, varsayılan yapılandırma, kuruluşları proaktif kontroller uygulanana kadar açığa çıkarır.
Önerilen azaltma:
- Abonelik politikalarını etkinleştirin: Konuk kullanıcılarının, default olmayan abonelik politikalarını etkinleştirerek kiracınızdaki abonelikleri aktarmalarını veya oluşturmalarını kısıtlayın.
- Konuk hesaplarını denetleyin: Gereksiz konuk hesaplarını, özellikle yüksek faturalandırma veya abonelik rolleri olanları düzenli olarak gözden geçirin ve kaldırın.
- Anormal abonelikler için monitör: Azure izleme araçlarını ve güvenlik uyarılarını kullanarak beklenmedik konuk oluşturulmuş abonelikleri ve kaynakları izleyin.
- Sert şartlı erişim: Meydan okulu hesapların patlama yarıçapını sınırlamak için cihaz uyumluluğu, risk tabanlı kimlik doğrulama ve sıfır güven politikalarını uygulayın.
Microsoft Entra B2B özelliklerinden yararlanan kuruluşlar, bu “huzursuz konukların” artış ve uzlaşma için gizli bir yol haline gelmesini önlemek için konuk erişim politikalarını ve abonelik yönetişimini acilen yeniden incelemelidir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!