Una vulnerabilità in Microsoft Azure Active Directory potrebbe consentire l’abuso del Cross-Tenant Synchronization (CTS)

Redazione RHC : 10 Agosto 2023 09:12

È stata scoperta una nuova vulnerabilità nel prodotto Microsoft Azure Active Directory. Stiamo parlando dell’abuso della funzionalità Cross-Tenant Synchronization (CTS) recentemente introdotta, che consente di sincronizzare utenti e gruppi tra più tenant di Azure.

I tenant di Azure sono organizzazioni o divisioni separate all’interno di Azure Active Directory, configurate con i propri criteri, utenti e impostazioni.

CTS consente all’amministratore di configurare la sincronizzazione tra più client per garantire una collaborazione senza soluzione di continuità. In questo caso, gli utenti di un client di origine vengono sincronizzati automaticamente con il client di destinazione.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Tuttavia, gli esperti avvertono che gli aggressori potrebbero abusare della nuova funzionalità per diffondere malware tra tenant di Azure correlati.

In un recente rapporto, la società di sicurezza informatica Vectra ha spiegato in dettaglio come gli hacker possono utilizzare CTS per spostarsi lateralmente tra i client e persino mantenere un accesso persistente su un dispositivo compromesso.

Il primo metodo, descritto nel rapporto Vectra, prevede il controllo delle configurazioni CTS per determinare i client di destinazione connessi utilizzando queste policy e in particolare la ricerca di client con “Outbound Sync” abilitato, che consente la sincronizzazione con altri client.

Dopo aver trovato un client che soddisfa questi criteri, l’attaccante trova l’applicazione utilizzata per sincronizzare il CTS e ne modifica la configurazione per aggiungere l’utente compromesso all’ambito di sincronizzazione, ottenendo così l’accesso alla rete di un altro client. Ciò consente all’hacker di spostarsi lateralmente senza richiedere l’inserimento di nuove credenziali.

Il secondo metodo segnalato da Vectra prevede l’implementazione di una configurazione CTS personalizzata per mantenere l’accesso continuo ai client di destinazione.

L’utilizzo di questo metodo richiede che il cybercriminale abbia già compromesso un account con privilegi, dopodiché può implementare un nuovo criterio CTS e attivare “Inbound Sync” e “Automatic User Consent”, che consente loro di inviare nuovi utenti dal proprio client esterno in qualsiasi momento. Questa impostazione fornisce a un utente malintenzionato l’accesso al client di destinazione.

Anche se gli account dei truffatori vengono rimossi dal sistema, l’attaccante può comunque creare e spostare nuovi utenti a suo piacimento, ottenendo l’accesso immediato alle risorse del cliente target, motivo per cui i ricercatori hanno soprannominato questo metodo un attacco backdoor.

Sebbene finora nessun attacco noto abbia abusato della nuova funzionalità di Active Directory, Vectra ha offerto raccomandazioni per rafforzare la configurazione per prevenire potenziali abusi.

La società suggerisce che i tenant CTS target dovrebbero evitare di implementare una configurazione standard o eccessivamente inclusiva di accesso cross-tenant (CTA) in entrata e, se possibile, porre limiti su cui utenti e gruppi possono accedere ai propri ambienti cloud.

Nel frattempo, i client CTS originali che fungono da punti di partenza per una violazione devono monitorare tutti gli utenti privilegiati per attività sospette.

Un rapporto di un’altra società di sicurezza informatica, Invictus, pubblicato nel febbraio di quest’anno, fornisce anche dettagli su come vengono registrate le attività CTS, consentendo agli amministratori di comprendere meglio come rilevare e bloccare comportamenti dannosi.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli