Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Redazione RHC : 10 Agosto 2023 09:12
È stata scoperta una nuova vulnerabilità nel prodotto Microsoft Azure Active Directory. Stiamo parlando dell’abuso della funzionalità Cross-Tenant Synchronization (CTS) recentemente introdotta, che consente di sincronizzare utenti e gruppi tra più tenant di Azure.
I tenant di Azure sono organizzazioni o divisioni separate all’interno di Azure Active Directory, configurate con i propri criteri, utenti e impostazioni.
CTS consente all’amministratore di configurare la sincronizzazione tra più client per garantire una collaborazione senza soluzione di continuità. In questo caso, gli utenti di un client di origine vengono sincronizzati automaticamente con il client di destinazione.
Sei un Esperto di Formazione?
Entra anche tu nel Partner program! Accedi alla sezione riservata ai Creator sulla nostra Academy e scopri i vantaggi riservati ai membri del Partner program.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Tuttavia, gli esperti avvertono che gli aggressori potrebbero abusare della nuova funzionalità per diffondere malware tra tenant di Azure correlati.
In un recente rapporto, la società di sicurezza informatica Vectra ha spiegato in dettaglio come gli hacker possono utilizzare CTS per spostarsi lateralmente tra i client e persino mantenere un accesso persistente su un dispositivo compromesso.
Il primo metodo, descritto nel rapporto Vectra, prevede il controllo delle configurazioni CTS per determinare i client di destinazione connessi utilizzando queste policy e in particolare la ricerca di client con “Outbound Sync” abilitato, che consente la sincronizzazione con altri client.
Dopo aver trovato un client che soddisfa questi criteri, l’attaccante trova l’applicazione utilizzata per sincronizzare il CTS e ne modifica la configurazione per aggiungere l’utente compromesso all’ambito di sincronizzazione, ottenendo così l’accesso alla rete di un altro client. Ciò consente all’hacker di spostarsi lateralmente senza richiedere l’inserimento di nuove credenziali.
Il secondo metodo segnalato da Vectra prevede l’implementazione di una configurazione CTS personalizzata per mantenere l’accesso continuo ai client di destinazione.
L’utilizzo di questo metodo richiede che il cybercriminale abbia già compromesso un account con privilegi, dopodiché può implementare un nuovo criterio CTS e attivare “Inbound Sync” e “Automatic User Consent”, che consente loro di inviare nuovi utenti dal proprio client esterno in qualsiasi momento. Questa impostazione fornisce a un utente malintenzionato l’accesso al client di destinazione.
Anche se gli account dei truffatori vengono rimossi dal sistema, l’attaccante può comunque creare e spostare nuovi utenti a suo piacimento, ottenendo l’accesso immediato alle risorse del cliente target, motivo per cui i ricercatori hanno soprannominato questo metodo un attacco backdoor.
Sebbene finora nessun attacco noto abbia abusato della nuova funzionalità di Active Directory, Vectra ha offerto raccomandazioni per rafforzare la configurazione per prevenire potenziali abusi.
La società suggerisce che i tenant CTS target dovrebbero evitare di implementare una configurazione standard o eccessivamente inclusiva di accesso cross-tenant (CTA) in entrata e, se possibile, porre limiti su cui utenti e gruppi possono accedere ai propri ambienti cloud.
Nel frattempo, i client CTS originali che fungono da punti di partenza per una violazione devono monitorare tutti gli utenti privilegiati per attività sospette.
Un rapporto di un’altra società di sicurezza informatica, Invictus, pubblicato nel febbraio di quest’anno, fornisce anche dettagli su come vengono registrate le attività CTS, consentendo agli amministratori di comprendere meglio come rilevare e bloccare comportamenti dannosi.
RedazioneUna vulnerabilità critica è stata scoperta nel driver di offload del canale dati di OpenVPN per Windows, che può essere sfruttata da attaccanti locali per mandare in crash i sistemi. Il...
Durante una RHC Conference, Corrado Giustozzi sottolineò una verità tanto semplice quanto potente: “L’essere umano è, da sempre, un creatore di amplificatori.”. Dal...
Nelle ultime ore, un’ondata massiccia di defacement ha preso di mira almeno una quindicina di siti web italiani. L’attacco è stato rivendicato dal threat actor xNot_RespondinGx (tea...
Nel mezzo degli intensi combattimenti tra Iran e Israele, il cyberspazio è stato coinvolto in una nuova fase di conflitto. Con il lancio dell’operazione israeliana Rising Lion, mirata all&...
