Una vulnerabilità in Microsoft Azure Active Directory potrebbe consentire l’abuso del Cross-Tenant Synchronization (CTS)

È stata scoperta una nuova vulnerabilità nel prodotto Microsoft Azure Active Directory. Stiamo parlando dell’abuso della funzionalità Cross-Tenant Synchronization (CTS) recentemente introdotta, che consente di sincronizzare utenti e gruppi tra più tenant di Azure.

I tenant di Azure sono organizzazioni o divisioni separate all’interno di Azure Active Directory, configurate con i propri criteri, utenti e impostazioni.

CTS consente all’amministratore di configurare la sincronizzazione tra più client per garantire una collaborazione senza soluzione di continuità. In questo caso, gli utenti di un client di origine vengono sincronizzati automaticamente con il client di destinazione.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Tuttavia, gli esperti avvertono che gli aggressori potrebbero abusare della nuova funzionalità per diffondere malware tra tenant di Azure correlati.

In un recente rapporto, la società di sicurezza informatica Vectra ha spiegato in dettaglio come gli hacker possono utilizzare CTS per spostarsi lateralmente tra i client e persino mantenere un accesso persistente su un dispositivo compromesso.

Il primo metodo, descritto nel rapporto Vectra, prevede il controllo delle configurazioni CTS per determinare i client di destinazione connessi utilizzando queste policy e in particolare la ricerca di client con “Outbound Sync” abilitato, che consente la sincronizzazione con altri client.

Dopo aver trovato un client che soddisfa questi criteri, l’attaccante trova l’applicazione utilizzata per sincronizzare il CTS e ne modifica la configurazione per aggiungere l’utente compromesso all’ambito di sincronizzazione, ottenendo così l’accesso alla rete di un altro client. Ciò consente all’hacker di spostarsi lateralmente senza richiedere l’inserimento di nuove credenziali.

Il secondo metodo segnalato da Vectra prevede l’implementazione di una configurazione CTS personalizzata per mantenere l’accesso continuo ai client di destinazione.

L’utilizzo di questo metodo richiede che il cybercriminale abbia già compromesso un account con privilegi, dopodiché può implementare un nuovo criterio CTS e attivare “Inbound Sync” e “Automatic User Consent”, che consente loro di inviare nuovi utenti dal proprio client esterno in qualsiasi momento. Questa impostazione fornisce a un utente malintenzionato l’accesso al client di destinazione.

Anche se gli account dei truffatori vengono rimossi dal sistema, l’attaccante può comunque creare e spostare nuovi utenti a suo piacimento, ottenendo l’accesso immediato alle risorse del cliente target, motivo per cui i ricercatori hanno soprannominato questo metodo un attacco backdoor.

Sebbene finora nessun attacco noto abbia abusato della nuova funzionalità di Active Directory, Vectra ha offerto raccomandazioni per rafforzare la configurazione per prevenire potenziali abusi.

La società suggerisce che i tenant CTS target dovrebbero evitare di implementare una configurazione standard o eccessivamente inclusiva di accesso cross-tenant (CTA) in entrata e, se possibile, porre limiti su cui utenti e gruppi possono accedere ai propri ambienti cloud.

Nel frattempo, i client CTS originali che fungono da punti di partenza per una violazione devono monitorare tutti gli utenti privilegiati per attività sospette.

Un rapporto di un’altra società di sicurezza informatica, Invictus, pubblicato nel febbraio di quest’anno, fornisce anche dettagli su come vengono registrate le attività CTS, consentendo agli amministratori di comprendere meglio come rilevare e bloccare comportamenti dannosi.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.