BeyondTrust araştırmacıları tarafından şaşırtıcı bir keşif, Microsoft Entra ID ve Azure ortamlarında, saldırganların örgütsel kiracılar içindeki ayrıcalıkları artırmak için daha az bilinen faturalandırma rollerinden yararlanabileceği kritik bir güvenlik açığını açıkladı.
Bu sofistike saldırı vektörü, genellikle sınırlı izinlerle işbirliği için davet edilen konuk kullanıcılarının, doğrudan idari haklara sahip olmadıkları harici kiracılarda Azure abonelikleri oluşturma ve kontrol etme yeteneğinden yararlanır.
Azure Misafir Erişiminde Gizli Tehdit
Bunu özellikle endişe verici kılan, kuruluşları açıkça kısıtlanmadıkça, kuruluşları yetkisiz keşif, kalıcılık ve potansiyel ayrıcalık artışına maruz bırakmadıkça bu tür eylemlere izin veren Microsoft sistemlerinin varsayılan yapılandırmasıdır.
.png
)
Bu istismarın çekirdeği, Microsoft’un Kurumsal Anlaşmalar (EA) ve Microsoft Müşteri Anlaşmaları (MCA) altındaki faturalandırma rollerinin paralel izin modelinde, gittikçe ödeme kurulumları da dahil olmak üzere yatmaktadır.
Genellikle bir kullanıcının ev kiracısında atanan faturalandırma hesabı sahibi veya Azure abonelik oluşturucu gibi roller, aboneliklerin oluşturulmasına veya kullanıcının konuk olduğu herhangi bir kiracıya aktarılmasına izin verir.
Konuktan Sahibine: Kontrol için Tehlikeli Bir Yol
Rapora göre, BeyondTrust’un kavram kanıtı saldırıları, ücretsiz bir Azure deneme kiracısıyla başlayan bir saldırganın kendilerine bir faturalandırma rolü atayabileceğini, bir hedef kiracıya konuk davetini nasıl kabul edebileceğini ve tam sahip izinleriyle kontrolleri altında bir abonelik oluşturabileceğini gösteriyor.
Bu abonelik daha sonra konuk hesaplarının beklenen güvenlik sınırlarını atlayarak kötü niyetli faaliyetler için bir dayanak haline gelir.
Microsoft, bu davranışı amaçlandığı gibi kabul ederek, kiracılar arası işbirliği için bir özellik olarak gösterdi, ancak katılım kısıtlamalarının olmaması riski artırıyor.
Bu kırılganlığın etkileri derindir. Bir abonelik oluşturulduktan sonra, saldırgan, kalıtsal IAM rol ödevleri aracılığıyla kök yönetim grubu yöneticilerini numaralandırabilir ve hedeflenen saldırılar için yüksek değerli hesaplara görünürlük kazanabilir.
Ayrıca aboneliklerine bağlı Azure politikalarını zayıflatabilir, güvenlik uyarılarını etkili bir şekilde susturabilir ve kalıcı erişim için paylaşılan Entra Kimlik Dizini’nde kullanıcı tarafından yönetilen kimlikler oluşturabilirler.
Buna ek olarak, saldırganlar, kiracı tarafından birleştirilmiş cihazları kaydederek, dinamik grup üyelikleri aracılığıyla koşullu erişim politikalarını potansiyel olarak kötüye kullanabilir ve ayrıcalıkları daha da artırabilir.
Tipik konuk kullanıcı beklentilerinin dışına çıkan bu eylemler, tehdit modellerinde faturalandırma izinlerini hesaba katmayan Azure yöneticileri için tehlikeli bir kör nokta oluşturur.
Savunucular için acil eylem kritiktir. BeyondTrust, konuk transferlerini engellemek için abonelik politikalarının uygulanmasını, konuk hesaplarının denetlenmesini ve sertleşmesini ve olağandışı etkinlik için aboneliklerin ve güvenlik uyarılarının izlenmesini önerir.
BeyondTrust Kimlik Güvenlik bilgileri gibi araçlar, konuk tarafından oluşturulan abonelikleri işaretleyerek ve kimlik risklerini değerlendirerek yardımcı olabilir.
Bu sorun, varsayılan konfigürasyonlar yanlışlıkla ayrıcalık yollarını etkinleştirdiğinden, Entra ID misafir erişimi etrafında tehdit modellerini yeniden değerlendirme ihtiyacının altını çizmektedir.
Saldırganlar bunu zaten vahşi doğada sömürürken, kuruluşlar bu tür istismarların tam patlama yarıçapı gerçekleşmeden önce çevrelerini bu “huzursuz konuklara” karşı güvence altına almak için hızlı hareket etmelidir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!