La nouvelle fonctionnalité Azure Active Directory Cross-Tenant Synchronization (CTS) de Microsoft, introduite en juin 2023, a créé une nouvelle surface d’attaque potentielle qui pourrait permettre aux acteurs de la menace de se propager plus facilement latéralement à d’autres locataires Azure.
Les locataires Microsoft sont des organisations clientes ou des sous-organisations dans Azure Active Directory qui sont configurées avec leurs propres stratégies, utilisateurs et paramètres.
Cependant, comme les grandes organisations peuvent être divisées en plusieurs locataires à des fins organisationnelles, il peut parfois être plus facile de permettre aux utilisateurs de se synchroniser entre les locataires autorisés contrôlés par la même entité.
En juin, Microsoft a introduit une nouvelle fonctionnalité de synchronisation entre locataires (CTS) qui permet à un administrateur de synchroniser des utilisateurs et des groupes sur plusieurs locataires et ressources de locataires, offrant une collaboration transparente, automatisant la gestion du cycle de vie des projets B2B, etc.
Lors de la configuration de CTS, un locataire « source » Azure sera synchronisé avec un locataire « cible », où les utilisateurs de la source peuvent être automatiquement synchronisés avec le locataire cible. Lors de la synchronisation des utilisateurs, l’utilisateur est uniquement poussé depuis la source et non extrait de la cible, ce qui en fait une synchronisation unilatérale.
Cependant, s’ils sont mal configurés, les attaquants qui ont déjà compromis un locataire et obtenu des privilèges élevés peuvent exploiter la nouvelle fonctionnalité pour se déplacer latéralement vers d’autres locataires connectés, puis déployer des configurations CTS escrocs pour établir la persistance sur ces réseaux.
Cette surface d’attaque a déjà été décrite par Invictus, dont le rapport se concentre principalement sur la détection des acteurs de la menace abusant de cette fonctionnalité.
Lacunes dans la configuration CTS
Dans un rapport publié hier, la société de cybersécurité Vectra explique comment les acteurs de la menace peuvent abuser de cette fonctionnalité pour se propager latéralement aux locataires liés ou même utiliser cette fonctionnalité pour la persistance.
Cependant, ils avertissent également que l’abus de cette fonctionnalité nécessite qu’un acteur malveillant compromette d’abord un compte privilégié ou obtienne une élévation de privilèges dans un environnement cloud Microsoft piraté.
« Nous n’avons pas observé l’utilisation de cette technique dans la nature, mais étant donné l’abus historique de fonctionnalités similaires, nous présentons des détails pour que les défenseurs comprennent comment l’attaque se présenterait et comment surveiller son exécution », explique Vectra dans son rapport.
La première technique décrite dans le rapport de Vectra consiste à examiner les configurations CTS pour identifier les locataires cibles connectés via ces politiques et, plus précisément, rechercher les locataires avec la « synchronisation sortante » activée, ce qui permet la synchronisation avec d’autres locataires.
Après avoir trouvé un locataire qui répond à ces critères, l’attaquant localise l’application utilisée pour la synchronisation CTS et modifie sa configuration pour ajouter l’utilisateur compromis dans sa portée de synchronisation, obtenant ainsi l’accès au réseau de l’autre locataire. Cela permet à l’auteur de la menace d’effectuer un mouvement latéral sans avoir besoin de nouvelles informations d’identification de l’utilisateur.
La deuxième technique présentée par Vectra consiste à déployer une configuration CTS malveillante pour maintenir un accès persistant aux locataires cibles. Encore une fois, il convient de noter que cette méthode nécessite qu’un acteur malveillant compromette déjà un compte privilégié dans le locataire.
Plus précisément, l’attaquant déploie une nouvelle politique CTS et active la « synchronisation entrante » et le « consentement automatique de l’utilisateur », leur permettant de pousser de nouveaux utilisateurs de leur locataire externe vers la cible à tout moment.
Cette configuration accorde à l’attaquant l’accès au locataire cible à tout moment via le compte externe.
Même si les comptes malveillants sont supprimés, l’attaquant peut créer et « pousser » de nouveaux utilisateurs à volonté, obtenant un accès immédiat aux ressources du locataire cible, d’où la raison pour laquelle Vectra appelle cela une « porte dérobée ».
Se défendre contre ces attaques
Bien qu’aucune attaque connue n’ait abusé de cette fonctionnalité, Vectra a proposé des conseils pour renforcer votre configuration afin d’empêcher l’utilisation abusive de la fonctionnalité.
Vectra propose que les locataires cibles CTS évitent d’implémenter une configuration CTA entrante par défaut ou trop inclusive et, si possible, définissent des limites sur lesquelles les utilisateurs et les groupes peuvent accéder à leurs environnements cloud.
Les locataires source CTS qui agissent comme points de violation initiaux doivent surveiller tous les utilisateurs privilégiés pour détecter toute activité suspecte.
Le rapport d’Invictus fournit des informations détaillées sur la façon dont l’activité CTS est enregistrée, permettant aux administrateurs de détecter les comportements malveillants.
Breachtrace a contacté Microsoft avec des questions sur le rapport, mais ils ont refusé de commenter.