Les utilisateurs invités ayant certains rôles de facturation peuvent créer et posséder des abonnements, potentiellement à gagner de la persistance et une escalade de privilèges dans l’environnement azur d’une organisation.
Les acteurs de la menace peuvent abuser de l’une des fonctionnalités de conception de Microsoft Entra, le service d’identité et de gestion d’accès basé sur le géant du logiciel, pour gagner de la persistance et augmenter le privilège dans un compte Azure cible.
Selon une découverte Beyondtrust, l’ENTRA (anciennement Azure Active Directory) accorde des capacités destinées mais risquées pour les utilisateurs invités B2B via les autorisations de facturation de Microsoft.
« Beyondtrust Les chercheurs ont découvert que les utilisateurs invités de l’ENTRA ayant les bons rôles de facturation peuvent créer des abonnements et devenir propriétaires, sans aucune autorisation explicite au sein du locataire cible », a déclaré Beyondtrust dans un article de blog.
La voie d’exploitation repose sur la façon dont les clients ayant certaines autorisations de facturation – les utilisateurs externes invités à collaborer dans l’environnement Azure d’une organisation – peuvent créer de nouveaux conteneurs (abonnements) détenant des ressources telles que les machines virtuelles, les bases de données et les services, assumant des droits de «propriétaire» par défaut.
Cette caractéristique permet potentiellement à un mauvais acteur de contourner les contrôles d’accès prévus et d’introduire un vecteur inattendu pour les mouvements latéraux et l’escalade des privilèges.
Autorisations de facturation trouvées exploitables, Microsoft n’est pas d’accord
Le problème découle des capacités accordées aux invités B2B par le biais des autorisations de facturation de Microsoft. «L’invité que vous avez invité pourrait rapidement dépasser leur accueil», a noté les chercheurs de Beyondtrust.
Les abonnements Azure fournissent un moyen de séparer logiquement les ressources, et les utilisateurs de l’ID ENTRA peuvent se voir attribuer des rôles de contrôle d’accès basés sur les rôles (RBAC) pour gérer les ressources dans un abonnement spécifique.
Cependant, il existe un ensemble distinct d’autorisations liées à la facturation et à la création d’abonnement qui passe souvent inaperçues. Ces autorisations comprennent des rôles liés à la gestion financière et des abonnement dans les environnements Microsoft. Les efforts de sécurité se concentrent généralement sur les autorisations administratives, et et non sur les rôles de facturation, en particulier lors de la restriction des utilisateurs invités externes, ont déclaré les chercheurs au-delà des chercheurs.
Beyondtrust a rapporté que Microsoft a confirmé que le comportement était attendu lors de la première contaction en janvier. Microsoft a expliqué que les abonnements créés par les invités dans les locataires ENTRA étaient une capacité demandée désormais implémentée par design et fonctionnent comme prévu.
Pour plus de clarté, Beyondtrust a été dirigé vers une documentation Microsoft qui révèle qu’il existe des contrôles facultatifs pour bloquer les transferts d’abonnement. Microsoft a également ajouté que les abonnements sont isolés pour agir comme des barrières de sécurité, et ils ne devraient pas être en mesure d’avoir un impact sur le reste du locataire.
Abus potentiel de persistance, accès élevé
Essentiellement, les utilisateurs invités ont attribué des rôles de facturation spécifiques, tels que «contributeur de compte de facturation», peuvent créer de nouveaux abonnements Azure au sein d’un locataire hôte. Cette action ne nécessite pas d’autorisations explicites dans le locataire cible, permettant effectivement aux clients de s’établir sans surveillance administrative directe.
Une fois un abonnement créé, l’utilisateur invité gagne des droits de «propriétaire». Selon Beyondtrust, ce privilège élevé leur permet de déployer des ressources, d’attribuer des rôles et potentiellement dégénérer leur accès, constituant une menace importante pour la posture de sécurité du locataire.
La capacité de créer et de contrôler les abonnements permet potentiellement aux acteurs malveillants de maintenir la persistance dans l’environnement. Ils peuvent tirer parti de cette position pour se déplacer latéralement, accéder aux données sensibles ou perturber les services.
Pour se défendre contre ce vecteur d’attaque au-delà de la mise en place d’un certain nombre d’actions en plus de tirer parti du contrôle Microsoft en option pour bloquer le transfert des abonnements. Ces actions comprennent l’audit de tous les comptes d’invités, le durcissement des commandes d’invités, la surveillance de tous les abonnements et l’accès aux périphériques d’audit.
C’est la deuxième fois cette semaine qu’un problème de sur-permission de Microsoft a été signalé par des chasseurs de menaces, le premier étant une découverte oasis d’un tas d’applications Web ayant plus qu’un accès requis dans le compte OneDrive d’un utilisateur en raison d’une implémentation OAuth trop permissive dans OneDrive File Picker.
