Las técnicas de movimiento lateral han desempeñado durante mucho tiempo un papel fundamental a la hora de comprometer las redes tradicionales. Son utilizados por grupos de ransomware para llegar a los controladores de dominio y desplegar sus ataques devastadores y altamente disruptivos. Son igualmente utilizados por los grupos de ciberespionaje para ganar persistencia y obtener acceso a sistemas que albergan propiedad intelectual sensible. Estos métodos también son populares entre los grupos de ciberdelincuentes para navegar por una red sensible y llegar a cajeros automáticos y otros sistemas financieros.
CTS, una función importante para grandes cuentas
Con la aceleración del despliegue de redes híbridas que combinan infraestructura local y en la nube, los atacantes buscan tácticas alternativas para lograr el movimiento lateral en estos entornos. Uno de estos métodos, recientemente imaginado y documentado por investigadores de la empresa de seguridad Vectra AI.Implica abusar de una característica de Azure Active Directory (AD) llamada sincronización entre inquilinos (CTS). Esto permite a las empresas sincronizar usuarios y grupos en diferentes instancias de Azure AD para que puedan acceder a las aplicaciones. microsoft y terceros vinculados a distintos inquilinos.
Esta función es útil para cuentas grandes y empresas con subsidiarias o sucursales con varios inquilinos de Azure AD. Algunos usuarios necesitan acceso a aplicaciones o recursos en otra sucursal o subsidiaria. “Este vector permite a un atacante que opera en un inquilino comprometido abusar de una configuración de sincronización deficiente entre inquilinos y obtener acceso a otros inquilinos conectados o implementar una configuración CTS maliciosa para mantener la persistencia dentro del inquilino. "instancia", dijeron los investigadores de Vectra AI en su informe. "No hemos observado que este método se utilice en la naturaleza, pero dado el abuso histórico de una funcionalidad similar, presentamos la técnica en detalle para que los defensores comprendan cómo ocurriría tal ataque y cómo monitorear su ejecución", agregaron.
Políticas de configuración y acceso vulnerables
En detalle, la función CTS sincroniza los derechos y permisos de los usuarios de un inquilino de origen a una instancia de destino. Esta conciliación se realiza a través de solicitudes push del inquilino de origen y en base a las políticas de acceso entre inquilinos (Cross-Tenant Access, CTA) configuradas en ambos inquilinos. Estos últimos deben tener una política de acceso similar y recíproca. Como ocurre con todas las técnicas de movimiento lateral, el abuso de CTS implica el supuesto compromiso de credenciales privilegiadas dentro de una instancia.
Para que un ataque funcione, ambos inquilinos deben tener licencias Azure AD Premium P1 o P2, incluido el uso de CTS. El atacante debe tener acceso a una cuenta con una función de Administrador de seguridad para configurar políticas de acceso entre inquilinos, una función de Administrador de identidad híbrida para modificar la configuración de sincronización entre inquilinos o una función o aplicación de Administrador de nube para asignar nuevos usuarios a un CTS existente. configuración. Entonces, dependiendo de las políticas de acceso existentes y la configuración de CTS en un inquilino, y por lo tanto de los privilegios obtenidos por el atacante, existen diferentes formas de abusar de esta situación para el movimiento lateral o la persistencia. La PoC de Vectra AI supone que el inquilino ya tiene políticas de acceso configuradas para otros inquilinos. Primero, el atacante usará el comando shell de administrador para enumerar todas las instancias con las que el inquilino actual tiene políticas de acceso. A continuación, examinará cada una de las políticas para identificar aquella para la que exista una política de salida. Esto significa que el inquilino actual está configurado para sincronizar usuarios con este inquilino de destino.
Puerta trasera y persistencia
El siguiente paso sería localizar el identificador de la aplicación que se ejecuta en el inquilino comprometido, responsable de la sincronización, para poder modificar su configuración. Los investigadores de Vectra crearon y publicaron un script de PowerShell que automatiza todo el proceso. "No existe una forma directa de encontrar la aplicación de sincronización CTS vinculada al inquilino objetivo", dijeron los investigadores. “El atacante puede enumerar los principales servicios del inquilino intentando validar las credenciales con el inquilino objetivo para, en última instancia, encontrar la aplicación que aloja el trabajo de sincronización con el inquilino objetivo. Puede hacerlo usando un módulo simple como este”. Después de identificar la aplicación de sincronización, el atacante puede agregar la cuenta comprometida para la cual ya tiene credenciales a la sincronización extendida o puede examinar la sincronización extendida de la aplicación, lo que podría, por ejemplo, indicar que todos los usuarios de un grupo en particular están sincronizados en el inquilino objetivo. Luego pueden intentar agregar directa o indirectamente a su usuario comprometido a este grupo.
Además de utilizar un inquilino comprometido como fuente de movimiento lateral, la sincronización entre inquilinos de CTS también se puede utilizar como puerta trasera para mantener la persistencia dentro de una instancia comprometida. Por ejemplo, el atacante podría crear una política de acceso cruzado en el inquilino víctima para permitir que un inquilino externo bajo su control sincronice los usuarios en ese inquilino. Luego podría habilitar la opción “consentimiento automático del usuario” para que no se le solicite el consentimiento al usuario sincronizado. El resultado sería que el atacante podría sincronizar nuevos usuarios de su inquilino externo con el inquilino víctima en cualquier momento en el futuro para acceder a los recursos, incluso si pierden el acceso a la cuenta original que comprometieron.
¿Qué desfiles?
Dado que esta técnica supone que una cuenta existente ha sido comprometida, las empresas deben aplicar prácticas de seguridad estrictas y monitorear las cuentas, especialmente aquellas con privilegios administrativos. Los inquilinos con CTS habilitado deben evitar políticas de acceso entrante entre inquilinos que sincronicen todos los usuarios, grupos o aplicaciones en un inquilino de origen. "Implemente una configuración de acceso entre inquilinos (CTA) entrante menos inclusiva, por ejemplo, definiendo explícitamente qué cuentas (si es posible) o grupos pueden obtener acceso a través del CTS", recomiendan los investigadores de Vectra AI. "Combine la política de acceso entre inquilinos de CTA con otras políticas de acceso condicional para evitar el acceso no autorizado".
Otras noticias que te pueden interesar