Les attaquants continuent de cibler les identités Microsoft pour accéder aux applications Microsoft connectées et aux applications SaaS fédérées. De plus, les attaquants continuent de faire progresser leurs attaques dans ces environnements, non pas en exploitant les vulnérabilités, mais en abusant des fonctionnalités natives de Microsoft pour atteindre leur objectif. Le groupe d’attaquants Nobelium, lié aux attaques de SolarWinds, a été documenté à l’aide de fonctionnalités natives telles que la création de fiducies fédérées [1] pour activer l’accès permanent à un locataire Microsoft.

Cet article présente une fonctionnalité native supplémentaire qui, lorsqu’elle est exploitée par un attaquant, permet un accès persistant à un locataire cloud Microsoft et des capacités de déplacement latéral vers un autre locataire. Ce vecteur d’attaque permet à un attaquant opérant dans un locataire compromis d’abuser d’une configuration de synchronisation entre locataires (CTS) mal configurée et d’accéder à d’autres locataires connectés ou de déployer une configuration CTS non autorisée pour maintenir la persistance au sein du locataire. Vectra AI n’a pas observé l’utilisation de cette technique dans la nature, mais compte tenu de l’abus historique de fonctionnalités similaires, Vectra AI présente des détails pour que les défenseurs comprennent comment l’attaque se présenterait et comment surveiller son exécution. En outre, l’article examinera comment les clients de Vectra AI ont actuellement une couverture – et ont eu une couverture dès le premier jour de la fonctionnalité publiée pour cette technique grâce à leurs détections basées sur l’IA et Intelligence du signal d’attaque VectraMT.

Synchronisation entre locataires

CTS est une nouvelle fonctionnalité de Microsoft qui permet aux organisations de synchroniser les utilisateurs et les groupes d’autres locataires sources et de leur accorder l’accès aux ressources (applications Microsoft et non Microsoft) dans le locataire cible. Les fonctionnalités CTS s’appuient sur les configurations de confiance B2B précédentes permettant une collaboration automatisée et transparente entre différents locataires et constituent une fonctionnalité que de nombreuses organisations chercheront à adopter. [2] [3]

CTS est une fonctionnalité puissante et utile pour les organisations telles que les conglomérats d’entreprises avec plusieurs locataires dans des sociétés affiliées, mais ouvre également des attaques potentielles de reconnaissance, de mouvement latéral et de persistance par de mauvais acteurs s’ils ne sont pas configurés et gérés correctement. Lisez la suite pour connaître les risques potentiels et les voies d’attaque que les adversaires peuvent exploiter pour exploiter CTS afin d’abuser des relations d’approbation d’un locataire potentiellement compromis à tout autre locataire configuré avec une relation d’approbation CTS.

  • CTS permet aux utilisateurs d’un autre locataire d’être synchronisés (ajoutés) dans un locataire cible.
  • Une configuration CTS mal configurée peut être exploitée pour passer latéralement d’un locataire compromis à un autre locataire de la même organisation ou d’une organisation différente.
  • Une configuration CTS malveillante peut être déployée et utilisée comme technique de porte dérobée pour maintenir l’accès à partir d’un locataire Microsoft externe contrôlé par un adversaire.

Compromis assumé !

Les techniques d’exploitation suivent la philosophie Assumed Compromise. Les techniques utilisées dans ces exploits supposent qu’une identité a été compromise dans un environnement cloud Microsoft. Dans un environnement réel, cela peut provenir d’une compromission du navigateur sur un point de terminaison géré par Intune avec une identité gérée par Microsoft.

Terminologies

Locataire source Locataire à partir duquel les utilisateurs et les groupes sont synchronisés
Locataire cible Locataire avec des ressources où les utilisateurs et les groupes sont synchronisés
Ressources Applications Microsoft (Teams, SharePoint, etc.) et applications non Microsoft (ServiceNow, Adobe, etc.)
CTS Abréviation pour faire référence à « Cross Tenant Synchronization » dans ce document
incitation à l’action Abréviation pour faire référence à « Cross Tenant Access » dans ce document
Compte compromis Point d’accès initial des adversaires

Le facilitateur

Informations importantes à connaître sur la configuration CTS :

  1. Les nouveaux utilisateurs sont synchronisés avec un locataire via push (et non pull). [2]
    • Le locataire source pousse les nouveaux utilisateurs à se synchroniser avec le locataire cible.
  2. Configuration automatique du rachat de consentement. [3]
    • L’activation de cette option élimine le besoin de consentir chaque fois que de nouveaux utilisateurs sont synchronisés avec un locataire cible.
  3. Les utilisateurs concernés par la synchronisation sont configurés dans le locataire source. [2]

L’attaque

Les techniques d’attaque décrites dans cet article nécessitent certaines licences et une compromission de compte privilégié ou une élévation de privilèges à certains rôles dans le locataire compromis. Un rôle d’administrateur général peut effectuer toutes ces actions dans un locataire. [3]

Action Locataire source Locataire cible
Permis de locataire

Azure AD Premium P1 ou P2

Azure AD Premium P1 ou P2

Configurer l’incitation à l’action

Administrateur de sécurité

Administrateur de sécurité

Configurer le CTS

Administrateur d’identité hybride

N / A

Attribuer des utilisateurs à la configuration CTS

Administrateur cloud ou administrateur d’application

N / A

Technique 1 : Mouvement latéral

Un attaquant opérant dans un environnement compromis peut exploiter un locataire de configuration CTS existant pour se déplacer latéralement d’un locataire à un autre locataire connecté.

  1. L’attaquant accède au locataire compromis.
  2. L’attaquant reconnaît l’environnement pour identifier les locataires cibles connectés via des politiques d’accès inter-locataires déployées.
    3. Synchronisation entre locataires Microsoft
  3. L’attaquant examine la configuration de la politique d’accès entre locataires pour chaque locataire connecté afin d’en identifier un avec la « synchronisation sortante » activée. La stratégie CTA avec la synchronisation sortante activée permet aux utilisateurs et aux groupes du locataire actuel d’être synchronisés avec le locataire cible.
    4. Synchronisation entre locataires Microsoft
  4. À partir de l’analyse de la configuration de la politique CTA, l’attaquant trouve un locataire connecté avec la synchronisation sortante activée et définit le locataire comme cible du mouvement latéral.
  5. L’attaquant reconnaît ensuite le locataire compromis pour trouver l’application de synchronisation CTS qui exécute le travail de synchronisation des utilisateurs et des groupes avec le locataire cible.
    • Il n’existe aucun moyen simple de trouver l’application de synchronisation CTS liée au locataire cible. L’attaquant peut énumérer les principaux de service dans le locataire tentant de valider les informations d’identification avec le locataire cible pour finalement trouver l’application qui héberge la tâche de synchronisation sur le locataire cible. Cela peut être fait via un module simple comme celui-ci.
    Synchronisation entre locataires Microsoft
  6. Après avoir identifié l’application de synchronisation CTS, l’attaquant peut modifier sa configuration pour ajouter le compte d’utilisateur actuellement compromis à la portée de synchronisation de l’application. Cela synchronisera le compte d’utilisateur compromis dans le locataire cible et accordera à l’attaquant l’accès au locataire cible en utilisant les mêmes informations d’identification initialement compromises.
    7. Synchronisation entre locataires Microsoft
  7. Alternativement, l’attaquant peut également inspecter la configuration de l’application de synchronisation CTS pour identifier la portée de synchronisation configurée et agir en conséquence.
    8. Synchronisation entre locataires Microsoft
    • Par exemple, si l’objet dans la portée de synchronisation est un groupe, l’attaquant peut tenter d’ajouter le compte d’utilisateur compromis directement ou indirectement au groupe, ce qui permettra automatiquement au compte compromis d’être synchronisé avec le locataire cible.
    Synchronisation entre locataires Microsoft
  8. S’il n’y a pas de conditions entrantes CTA explicites bloquant la synchronisation dans le locataire cible, le compte compromis sera synchronisé dans le locataire cible.
  9. L’attaquant se déplace latéralement dans le locataire cible en utilisant le même compte initialement compromis.

Scénario 2 : porte dérobée

Un attaquant opérant dans un locataire compromis peut déployer une configuration non autorisée d’accès interlocataires pour maintenir un accès persistant.

  1. L’attaquant accède au locataire compromis.
  2. L’attaquant tente de déployer une nouvelle politique d’accès entre locataires dans le locataire victime avec les propriétés suivantes.
    • Ajoutez une nouvelle stratégie CTA avec le locataire source défini comme locataire externe contrôlé par l’attaquant.
      • Synchronisation entre locataires Microsoft
    • Configurez la nouvelle politique CTA pour activer ‘Synchronisation entrante‘.
      • Synchronisation entre locataires Microsoft
    • Activer ‘Consentement automatique de l’utilisateur’ pour la synchronisation des utilisateurs entrants.
      • Synchronisation entre locataires Microsoft
  3. Simultanément, l’attaquant configure également CTS sur son locataire externe.
    • La configuration du locataire externe CTS n’est pas couverte par cet article et n’est donc pas couverte ici. Le processus de configuration de CTS dans un locataire source est bien défini par Microsoft ici.
  4. L’attaquant peut désormais synchroniser les nouveaux utilisateurs de son locataire via push vers le locataire cible de la victime à tout moment à l’avenir. Cela accorde à l’attaquant un accès futur aux ressources du locataire cible à l’aide du compte contrôlé en externe.

La défense

  1. Les techniques d’attaque décrites dans ce document suivent un compromis présumé. Les entreprises doivent continuer à mettre en œuvre et à appliquer les meilleures pratiques de sécurité pour réduire le risque de compromission des comptes.
  2. Les locataires CTS Target doivent :
    1. Évitez d’implémenter une configuration CTA entrante par défaut qui permet à tous les utilisateurs/groupes/applications du locataire source de synchroniser les appels entrants. [2]
    2. Déployez une configuration CTA entrante moins inclusive, telle que la définition explicite de comptes (si possible) ou de groupes pouvant accéder via CTS.
    3. Combinez la politique CTA avec des politiques d’accès conditionnel supplémentaires pour empêcher tout accès non autorisé.
  3. Les locataires de CTS Source doivent :
    1. Assurez-vous que les groupes autorisés à accéder aux autres locataires via CTS (et tous les groupes privilégiés en général) sont correctement réglementés et surveillés.
  4. Détectez et répondez à grande échelle et rapidement.

Clients Vectra :

Le portefeuille d’alertes existant de Vectra est capable de détecter cette activité avant même de comprendre l’implication de cette opération ainsi que les actions attendues qui se produiraient avant cet événement.

Le fait qu’aucune vulnérabilité réelle n’est exploitée dans cette technique rend plus difficile la prévention une fois qu’un adversaire se trouve dans l’environnement avec des privilèges suffisants. Cependant, les détections basées sur l’IA de Vectra ont été conçues pour détecter ces types de scénarios d’abus de privilèges sans avoir à s’appuyer sur des signatures ou des listes d’opérations connues.

Azure AD Privilege Operation Anomaly de Vectra surveille la valeur sous-jacente de chaque opération dans l’environnement et de chaque utilisateur. L’IA crée en permanence une base de référence des types d’actions qui devraient se produire dans l’environnement et identifie les cas d’abus de privilèges basés sur le cloud. En se concentrant sur le comportement d’abus de privilèges, Vectra est capable d’identifier des techniques émergentes comme celle documentée ici.

Les actions de l’attaquant qui se produiraient avant l’attaque, telles que l’accès au compte suite à un vol de jeton ou à d’autres formes de compromission de compte, seraient alertées par les détections de Vectra telles que l’utilisation inhabituelle du moteur de script Azure AD, la connexion suspecte Azure AD ou Azure AD Suspicious Application OAuth.

Tests de sécurité Microsoft Cloud

Tester régulièrement et efficacement les environnements est le meilleur moyen d’être sûr de sa capacité à se défendre contre les cyberattaques. MAAD-Attack Framework est un outil d’émulation d’attaque open source qui combine les techniques d’attaque les plus couramment utilisées et permet aux équipes de sécurité de les émuler rapidement et efficacement dans leurs environnements via une simple borne interactive. Découvrez MAAD-AF sur GitHub ou apprenez-en plus ici.

Les équipes de sécurité peuvent utiliser le module MAAD-AF « Exploitez la synchronisation entre locataires » émuler et tester les techniques d’exploitation CTS dans leur environnement.

Vous voulez en savoir plus ?

Vectra AI est le leader de la détection et de la réponse aux menaces basées sur l’IA pour les entreprises hybrides et multi-cloud. La plate-forme Vectra AI fournit le signal intégré alimentant XDR, SIEM, SOAR, quelle que soit votre vitre. Cette plate-forme puissante offre aux équipes SOC une couverture de surface d’attaque hybride et une intelligence des signaux d’attaque en temps réel, ainsi qu’une réponse intégrée, automatisée et cogérée. Les entreprises peuvent choisir les modules dont elles ont besoin pour obtenir une couverture complète sur les réseaux d’identité, de cloud public, de SaaS et de centres de données.

Contacter Vectra AI aujourd’hui.

Les références:

A lire également